Даже необразованный «кулхацкер» способен инфицировать BIOS, используя инструмент LightEater, о котором рассказали на последней хакерской конференции CanSecWest в Ванкувере.

Атака даёт возможность полностью вывести из строя компьютер, но также позволяет внедрить троян, который будет перехватывать пароли и другие конфиденциальные данные. Уязвимости подвержены материнские платы всех ведущих производителей, включая Gigabyte, Acer, MSI, HP и Asus. Опасность ещё более усиливается в связи с тем, что производители повторно используют один и тот же код в UEFI BIOS разных моделей.

LightEater содержит простой способ, как вывести из строя BIOS с помощью модифицированного драйвера ядра и некорректной первой инструкции на считывание с флэш-чипа.

С презентацией “How many million BIOSes would you like to infect?” выступили специалисты Кори Калленберг (Corey Kallenberg) и Ксено Ковах (Xeno Kovah) из компании LegbaCore. Они показывают, как проводить массированные атаки типа SMM (System Management Mode), внедряя закладки для всех BIOS, подходящих по описанию. Вполне возможно, что этим методом уже пользуется АНБ и другие спецслужбы. Например, для доступа к компьютерам, которые загружаются с чистой ОС вроде Tails.

«Идея в том, что, если ОС скомпрометирована имплантатом, вполне можно использовать Tails для связи (все интернет-подключения работают через браузер Tor), так как она защищена от вредоносного ПО, которое поразило основную операционную систему. Имплантат ждёт, пока загрузится Tails, выуживает важные данные из памяти и отправляет наружу. Наш агент работает в фоне, Tails его не видит», — говорит Кори Калленберг.

В интервью The Register один из авторов исследования сказал, что проблема связана с тем, что очень мало людей заботятся об обновлении BIOS в материнской плате. Показав уязвимость этого программного обеспечения, авторы надеются изменить данную тенденцию.

28 комментариев

  1. Аватар

    23.03.2015 at 18:32

    что очередной бад биос? храните системники под замком не кто не доберётся до ваших юсб портов))) тем более речь про «линукс» опять)

    • Аватар

      24.03.2015 at 08:40

      Попробуйте открыть какой-нибудь простенький английский замок, хотя бы часа за два. Последующие взломы будут происходить в разы, если не на порядок быстрей. Хороших замков, которые невозможно взломать не существует. Для тех случаев, когда уровень секретности заоблачный, с множеством дополнительных проблем (шторки против импрессинга у сувальдных замков, личинки с магнитными запорами и проч.) — существуют другие методы для взлома секрета, начиная от портативного рентген-аппарата, вплоть до задействования агентуры на заводах производителей. И это только кажется, что раз вы John Doe, то никто не будет заморачиваться — для некоторых людей это уже давным давно не заморочки, а наработанный опыт, как чистка зубов два раза в день. Так что по-меньше понтов, побольше адекватного восприятия реальности.

    • Аватар

      31.03.2015 at 22:12

      Ой дружок тут линь в самую тему, столько возможности!

  2. Аватар

    23.03.2015 at 19:02

    Зловред LightEater для заражения BIOS может тключить Secure Boot ?

  3. Аватар

    23.03.2015 at 19:15

    Тьфу ты.. Сначала подумал: «нафига денди к ноуту подключили?»

  4. Аватар

    23.03.2015 at 19:21

    мне нестрашно, у меня комп 2006 года 🙂

    • Аватар

      23.03.2015 at 20:01

    • Аватар

      23.03.2015 at 22:54

      Зачем такое старье покупаете?

      • Аватар

        23.03.2015 at 23:07

        тут вопрос надо поставить подругому)) А где денег на новый копм взять?

        • Аватар

          24.03.2015 at 23:04

          ты задрот? тебе надо поддержку дх12 и 4ядерный проц что ли, если нет то нафига, железо того года вполне рентабельно

          • Аватар

            25.03.2015 at 01:00

            Я не задрот, сам юзаю комп 2008 года, а что плохого в производительном железе ??? почему сразу если норм конфиг компа, то задрот? Можно же делать множество других вещей. Комфортная работа — Брутфорс — Сборка ядер ( передать на сервер .config и потом стянуть ядро ) — многое другое. Странная у тебя ассоциация))

      • Аватар

        24.03.2015 at 11:41

    • Аватар

      25.03.2015 at 08:05

      И мне не страшно, самый новый комп 2008 года, самый старый — 1988. Пусть попробуют сломать биос моей икстешки 😀

  5. Аватар

    23.03.2015 at 20:18

    «LightEater содержит простой способ, как вывести из строя BIOS с помощью
    модифицированного драйвера ядра и некорректной первой инструкции на
    считывание с флэш-чипа». Не хочется быть грубым, но пить надо меньше. 🙂 На самом деле речь идёт о том, что по всем известному адресу F000:FFF0 записывается неправильная инструкция. Процессор при загрузке передаёт управление на этот адрес, и всё, вылезайте — приехали.

  6. Аватар

    24.03.2015 at 11:34

    А может вернуть производителей материнских плат к хорошо забытому старому а именно

    ППЗУ с однократной записью методом пережигания перемычек и пох на все вирусы !!!! ?

    • Аватар

      24.03.2015 at 12:54

      При физическом доступе к компу, микросхему можно заменить. А без физического доступа — поставь на материнке перемычку в нужное положение — и всё, запись во Flash BIOS закрыта.

  7. Аватар

    24.03.2015 at 13:35

    Хм. Можно поставить бизнес на конвейер)) открыть сервисный центр, заниматься ремонтом и заражением.)) Ломать компы в определенный период времени. И ждать клиента у себя. Если это устройство актуально для нового bios то будет рентабельно. И самое главное менять вид поломки. Тем самым зарекомендовать себя. Да и антивирус желательно ставить предлагать, ведь тем самым мы исключим троян. И если все отладить до четкой схемы, то будет постоянный приток людей. Это больше сработает в городе с миллионным населением. Скажите можно и без этого оборудования обойтись, хм. может быть, но возможностей с этим оборудованием думаю больше. Критикуйте))

  8. Аватар

    24.03.2015 at 14:59

    Пароль на биос и никаких проблем.

    • Аватар

      25.03.2015 at 15:29

      Случается люди покупают б/у.

    • Аватар

      27.03.2015 at 02:25

      и потом если что сбросить пароль по дефолту и спокойно зайти без пароля.Обойти пароль на биосе сейчас можно много какими способами.Особенно после внедрения EEPROM

  9. Аватар

    31.03.2015 at 22:11

    Удобно в плане сервиса, уходит клиент а через пол года назад к тебе же! И так он завязан на тебе, DDD микрухи вообще огонь!

Оставить мнение