בראשונה: האקרים רוסיים ניצלו תוכנה לאיתור לפטופים ככלי פריצה

כלי לאיתור לפטופים שנגנבו שימש קבוצה ידועה של האקרים רוסים – כך על פי מחקר חדש של ESET, שפורסם באחרונה.

מתקפת הסייבר שנתגלתה עשתה שימוש ברוטקיט מסוג UEFI במטרה לחדור למחשבי הקורבנות. הרוטקיט, שמכונה LoJax, היה חלק מקמפיין שהופעל על ידי קבוצת Sednit נגד מטרות בעלות נוכחות בולטת במרכז ובמזרח אירופה. החוקרים אמרו כי זו המתקפה הראשונה המוכרת מסוג זה.

רוטקיטים מסוג UEFI (רכיב החומרה שאחראי לניהול כל ההתקנים הפיזיים במחשב) הם כלים מסוכנים, המיועדים להתחלה של מתקפות סייבר. הם משמשים כמפתח למחשב כולו, קשים לזיהוי ומסוגלים לשרוד אמצעי הגנת סייבר שונים, דוגמת התקנה מחדש של מערכת ההפעלה או אפילו החלפת דיסק קשיח. בנוסף, ניקוי מערכת הנגועה ברוטקיט מסוג UEFI דורש ידע שחורג מעבר לזה הקיים אצל המשתמש הממוצע, כגון עדכון הקושחה.

תקן ה-UEFI נועד להחליף את יישום ה-BIOS הקנייני והוותיק. הקושחה מבוצעת על ידי המחשב מיד עם הפעלת המחשב, משמע – אתחול שלו. היא אחראית לביצוע כל העבודה המוקדמת הנדרשת להפעלת מערכת ההפעלה. UEFI מגדיר ממשק סטנדרטי בין מערכת ההפעלה לבין יישום הקושחה, המאפשר תאימות טובה יותר ביניהם.

ההאקרים השתמשו בתוכנת אנטי גניבה

קבוצת ההאקרים הרוסית השתמשה בתוכנת אנטי גניבה שנקראה בעבר LoJack או Computrace, והיא נמצאת באופן מובנה בחומרה של לפטופים של היצרניות הגדולות בעולם. ברגע שהשירות הופעל, המחשב היה מתקשר בחזרה אל שרתי השליטה והבקרה שלו, ואילו בעליו היה מקבל הודעה בנוגע למיקומו, לאחר שהוא נעלם או נגנב.

מאחר שמטרת התוכנה היא להגן על מערכות בפני גניבה, ישנה חשיבות לכך שלא ניתן יהיה להסיר אותה בהתקנה מחדש של מערכת הפעלה או החלפת דיסק קשיח. לפיכך, היא מופעלת כמודול UEFI/BIOS – עם היכולת להוסיף ולהתקיים גם באירועים כאלה.

"קבוצת האקרים שפועלת תחת פוטין"

קבוצת ההאקרים Sednit ידועה גם כ-APT28 ,STRONTIUM ,Sofacy או Fancy Bear. זו אחת מקבוצות ההאקרים שמבצעות מתקפות APT (מתקפות עקביות ומתמשכות) הפעילות ביותר והיא נמצאת בשטח לפחות מ-2004. בין המתקפות המפורסמות שמיוחסות לה: הפריצה למחשבי ושרתי הוועידה הדמוקרטית הלאומית בארצות הברית, שנחשפה במהלך הקמפיין לנשיאות ארצות הברית ב-2016, הפריצה לרשת הטלוויזיה הצרפתית TV5Monde, דליפת המיילים של הסוכנות הבינלאומית נגד שימוש בסמים ופריצות רבות אחרות. היא אוזכרה בעבר כמי שפועלת תחת הוראותיו הישירות של ולדימיר פוטין, נשיא רוסיה.

על פי חוקרי ESET, הקבוצה מחזיקה במגוון נרחב של נוזקות וכלי פריצה. הם ציינו כי "גילויו הראשון אי פעם של רוטקיט מסוג UEFI בשטח מהווה נורת אזהרה עבור משתמשים וארגוניהם, הנוטים להתעלם מהסיכונים הקשורים בשינויי קושחה".

לדברי ז'אן-יאן בוטין, חוקר נוזקות בכיר בחברת האבטחה, שהוביל את המחקר על LoJax ועל הקמפיין של Sendit, "עכשיו אין תירוץ שלא לבדוק גם את הקושחה במסגרת בדיקה סדירה. מתקפות באמצעות UEFI הן אמנם נדירות ביותר, ועד כה הן היו מוגבלות בעיקר לחבלה פיזית במחשב היעד. עם זאת, מתקפה מוצלחת כזו תוביל לשליטה מלאה על המחשב".

הוא אמר כי "היינו מודעים לקיומם של רוטקיטים מסוג UEFI ברמה התיאורטית. הגילוי החדש שלנו מאשר שכלים אלה שימשו קבוצת APT פעילה, כך שהם כבר לא נושא חם לדבר עליו בכנסי אבטחה – אלא איום של ממש".