Даже необразованный «кулхацкер» способен инфицировать BIOS, используя инструмент LightEater, о котором рассказали на последней хакерской конференции CanSecWest в Ванкувере.

Атака даёт возможность полностью вывести из строя компьютер, но также позволяет внедрить троян, который будет перехватывать пароли и другие конфиденциальные данные. Уязвимости подвержены материнские платы всех ведущих производителей, включая Gigabyte, Acer, MSI, HP и Asus. Опасность ещё более усиливается в связи с тем, что производители повторно используют один и тот же код в UEFI BIOS разных моделей.

LightEater содержит простой способ, как вывести из строя BIOS с помощью модифицированного драйвера ядра и некорректной первой инструкции на считывание с флэш-чипа.

С презентацией “How many million BIOSes would you like to infect?” выступили специалисты Кори Калленберг (Corey Kallenberg) и Ксено Ковах (Xeno Kovah) из компании LegbaCore. Они показывают, как проводить массированные атаки типа SMM (System Management Mode), внедряя закладки для всех BIOS, подходящих по описанию. Вполне возможно, что этим методом уже пользуется АНБ и другие спецслужбы. Например, для доступа к компьютерам, которые загружаются с чистой ОС вроде Tails.

«Идея в том, что, если ОС скомпрометирована имплантатом, вполне можно использовать Tails для связи (все интернет-подключения работают через браузер Tor), так как она защищена от вредоносного ПО, которое поразило основную операционную систему. Имплантат ждёт, пока загрузится Tails, выуживает важные данные из памяти и отправляет наружу. Наш агент работает в фоне, Tails его не видит», — говорит Кори Калленберг.

В интервью The Register один из авторов исследования сказал, что проблема связана с тем, что очень мало людей заботятся об обновлении BIOS в материнской плате. Показав уязвимость этого программного обеспечения, авторы надеются изменить данную тенденцию.

28 комментариев

  1. Аватар

    23.03.2015 в 18:32

    что очередной бад биос? храните системники под замком не кто не доберётся до ваших юсб портов))) тем более речь про «линукс» опять)

    • Аватар

      24.03.2015 в 08:40

      Попробуйте открыть какой-нибудь простенький английский замок, хотя бы часа за два. Последующие взломы будут происходить в разы, если не на порядок быстрей. Хороших замков, которые невозможно взломать не существует. Для тех случаев, когда уровень секретности заоблачный, с множеством дополнительных проблем (шторки против импрессинга у сувальдных замков, личинки с магнитными запорами и проч.) — существуют другие методы для взлома секрета, начиная от портативного рентген-аппарата, вплоть до задействования агентуры на заводах производителей. И это только кажется, что раз вы John Doe, то никто не будет заморачиваться — для некоторых людей это уже давным давно не заморочки, а наработанный опыт, как чистка зубов два раза в день. Так что по-меньше понтов, побольше адекватного восприятия реальности.

    • Аватар

      31.03.2015 в 22:12

      Ой дружок тут линь в самую тему, столько возможности!

  2. Аватар

    23.03.2015 в 19:02

    Зловред LightEater для заражения BIOS может тключить Secure Boot ?

  3. Аватар

    23.03.2015 в 19:15

    Тьфу ты.. Сначала подумал: «нафига денди к ноуту подключили?»

  4. Аватар

    23.03.2015 в 19:21

    мне нестрашно, у меня комп 2006 года 🙂

    • Аватар

      23.03.2015 в 20:01

    • Аватар

      23.03.2015 в 22:54

      Зачем такое старье покупаете?

      • Аватар

        23.03.2015 в 23:07

        тут вопрос надо поставить подругому)) А где денег на новый копм взять?

        • Аватар

          24.03.2015 в 23:04

          ты задрот? тебе надо поддержку дх12 и 4ядерный проц что ли, если нет то нафига, железо того года вполне рентабельно

          • Аватар

            25.03.2015 в 01:00

            Я не задрот, сам юзаю комп 2008 года, а что плохого в производительном железе ??? почему сразу если норм конфиг компа, то задрот? Можно же делать множество других вещей. Комфортная работа — Брутфорс — Сборка ядер ( передать на сервер .config и потом стянуть ядро ) — многое другое. Странная у тебя ассоциация))

      • Аватар

        24.03.2015 в 11:41

    • Аватар

      25.03.2015 в 08:05

      И мне не страшно, самый новый комп 2008 года, самый старый — 1988. Пусть попробуют сломать биос моей икстешки 😀

  5. Аватар

    23.03.2015 в 20:18

    «LightEater содержит простой способ, как вывести из строя BIOS с помощью
    модифицированного драйвера ядра и некорректной первой инструкции на
    считывание с флэш-чипа». Не хочется быть грубым, но пить надо меньше. 🙂 На самом деле речь идёт о том, что по всем известному адресу F000:FFF0 записывается неправильная инструкция. Процессор при загрузке передаёт управление на этот адрес, и всё, вылезайте — приехали.

  6. Аватар

    24.03.2015 в 11:34

    А может вернуть производителей материнских плат к хорошо забытому старому а именно

    ППЗУ с однократной записью методом пережигания перемычек и пох на все вирусы !!!! ?

    • Аватар

      24.03.2015 в 12:54

      При физическом доступе к компу, микросхему можно заменить. А без физического доступа — поставь на материнке перемычку в нужное положение — и всё, запись во Flash BIOS закрыта.

  7. Аватар

    24.03.2015 в 13:35

    Хм. Можно поставить бизнес на конвейер)) открыть сервисный центр, заниматься ремонтом и заражением.)) Ломать компы в определенный период времени. И ждать клиента у себя. Если это устройство актуально для нового bios то будет рентабельно. И самое главное менять вид поломки. Тем самым зарекомендовать себя. Да и антивирус желательно ставить предлагать, ведь тем самым мы исключим троян. И если все отладить до четкой схемы, то будет постоянный приток людей. Это больше сработает в городе с миллионным населением. Скажите можно и без этого оборудования обойтись, хм. может быть, но возможностей с этим оборудованием думаю больше. Критикуйте))

  8. Аватар

    24.03.2015 в 14:59

    Пароль на биос и никаких проблем.

    • Аватар

      25.03.2015 в 15:29

      Случается люди покупают б/у.

    • Аватар

      27.03.2015 в 02:25

      и потом если что сбросить пароль по дефолту и спокойно зайти без пароля.Обойти пароль на биосе сейчас можно много какими способами.Особенно после внедрения EEPROM

  9. Аватар

    31.03.2015 в 22:11

    Удобно в плане сервиса, уходит клиент а через пол года назад к тебе же! И так он завязан на тебе, DDD микрухи вообще огонь!

Оставить мнение