"Лаборатория Касперского" обнаружила хакерскую атаку, частью которой стало заражение компьютера на низком уровне, то есть зловред запускается еще до загрузки операционной системы. Назвали этот инструмент сложной модульной структурой с кодовым именем MosaicRegressor. Ключевая его особенность в том, что компрометируется специальный чип на материнской плате, в котором записана UEFI — программа-загрузчик, пришедшая на смену более привычному BIOS.
Игорь Кузнецов, ведущий антивирусный эксперт "Лаборатории Касперского": "Та программа, которая находится на этом чипе, она исполняется на более низком уровне, чем сама операционная система. Это значит, что именно эта программа решает, какую операционную систему запустить, вообще позволить ли ей запуститься, дать ли доступ к оборудованию. И вообще она может делать с компьютером все, что угодно: изменять память, изменять содержимое диска. В нашем случае — заразить этот самый диск для того, чтобы операционная система уже запустила вредоносный файл, который ей сбросили".
Дальше проще: получив полный контроль над компьютером жертвы, атакующие могут загружать и использовать любые инструменты изначально модульной конструкции — от изменения содержимого файла до отслеживания нажатий на клавиатуру. В тех версиях, что обнаружила "Лаборатория Касперского", зловред паковал все недавние документы и отправлял на удаленные сервера. То есть чистый шпионаж, избавится от которого можно, только поменяв материнскую плату — ну или весь компьютер в сборе, если речь идет о ноутбуке. Как именно злоумышленники заражают загрузчик компьютера, пока неясно. Есть две версии: или они получали физический доступ к устройству, или знают уязвимость, которая может удаленно перепрошивать UEFI-чип. Хорошая новость в том, что пока "Лаборатория Касперского" обнаружила только два зараженных компьютера. Иными словами, речь, судя по всему, идет об атаке на определенных людей.
Игорь Кузнецов, ведущий антивирусный эксперт "Лаборатории Касперского: "Для того, чтобы заражать UEFI, нужно иметь определенный уровень развития, и не каждый злоумышленник может это сделать. Но, как только появляются готовые рабочие примеры, порог входа снижается. Есть опасность, что это переиспользуют. Единственно, что сейчас останавливает по сути — это очень большое разнообразие платформ и разнообразие вариантов защиты, которые установлены, чтобы не происходило этой перепрошивки. Как только найдется что-то, что позволит взломать их все, мы будем в большой беде".
Интересно, что пять лет назад "Лаборатория Касперского" уже находила неудаляемые вирусы. Тогда были обнаружены управляющие сервера и следы атак группировки Equation, ее связывали с американскими спецслужбами. Так вот, в распоряжении тех хакеров были инструменты, способные заражать контроллеры жестких дисков, но атака была завершена, управление заброшено. Что же до нынешней атаки, то есть версия – решение о перепрошивки UEFI чипа было взято из утечки инструментов итальянской компании Hacking Team, она работает в интересах правоохранительных органов и творчески переработана. Но кем переработана — доподлинно неизвестно.
