Скриването на злонамерени програми във фърмуера UEFI на компютъра - кода, който указва на компютъра как да зареди операционната си система - се превърна в коварен трик в инструментариума на скритите хакери. Но когато производителят на дънни платки инсталира своя собствена скрита "задна врата" във фърмуера на милиони компютри и дори не поставя подходящо заключване, той на практика върши работата на хакерите вместо тях. 
Изследователи от компанията за киберсигурност Eclypsium, която се занимава с фърмуера, разкриха, че са открили скрит механизъм във фърмуера на дънни платки, продавани от тайванския производител Gigabyte, чиито компоненти често се използват в геймърски компютри и други високопроизводителни компютри. Eclypsium установи, че когато компютър със засегната дънна платка Gigabyte се рестартира, код във фърмуера на дънната платка невидимо инициира програма за актуализация, която се стартира на компютъра и на свой ред изтегля и изпълнява друг софтуер. 
Въпреки че Eclypsium твърди, че скритият код е предназначен да бъде безобиден инструмент за актуализиране на фърмуера на дънната платка, изследователите установиха, че той е реализиран несигурно, което потенциално позволява механизмът да бъде превзет и използван за инсталиране на зловреден софтуер вместо предвидената от Gigabyte програма. И тъй като програмата за актуализиране се задейства от фърмуера на компютъра, извън неговата операционна система, за потребителите е трудно да я премахнат или дори открият. 
"Ако имате една от тези машини, трябва да се притеснявате за факта, че тя по принцип взема нещо от интернет и го стартира, без да участвате, и не е направила нищо от това сигурно", казва Джон Лукаидес, който ръководи стратегията и изследванията в Eclypsium. "Концепцията за влизане под крайния потребител и превземане на машината му не се харесва на повечето хора." 
В публикацията в блога си за изследването Eclypsium изброява 271 модела дънни платки Gigabyte, които според изследователите са засегнати. Лукаидес добавя, че потребителите, които искат да видят коя дънна платка използва техният компютър, могат да проверят, като отидат на "Старт" в Windows и след това на "Системна информация". 


Самият ъпдейт на Gigabyte може да е предизвикал безпокойство у потребителите, които не се доверяват на Gigabyte да инсталира безшумно код на тяхната машина с почти невидим инструмент - или които се притесняват, че механизмът на Gigabyte може да бъде използван от хакери, които компрометират производителя на дънни платки, за да използват скрития му достъп при атака по веригата за доставка на софтуер. Но Eclypsium също така установи, че механизмът за актуализация е реализиран с явни уязвимости, които биха могли да позволят той да бъде превзет: той изтегля код на машината на потребителя, без да го удостовери по подходящ начин, понякога дори чрез незащитена HTTP връзка, а не чрез HTTPS. Това би позволило източникът на инсталацията да бъде подправен чрез атака тип "човек по средата", извършена от всеки, който може да прихване интернет връзката на потребителя, например от нелоялна Wi-Fi мрежа. 
В други случаи инсталираният от механизма във фърмуера на Gigabyte ъпдейт е конфигуриран да се изтегля от локално мрежово устройство за съхранение (NAS) - функция, която изглежда е предназначена за бизнес мрежи за администриране на актуализации, без всички техни машини да достигат до интернет. Но Eclypsium предупреждава, че в тези случаи злонамерен участник в същата мрежа може да подмени местоположението на NAS, за да инсталира невидимо свой зловреден софтуер. 
Eclypsium твърди, че работи с Gigabyte, за да разкрие своите констатации пред производителя на дънни платки, и че Gigabyte е заявила, че планира да отстрани проблемите. 

Снимки: Unsplash

Виж още: Руски хакери използват WinRAR като кибероръжие срещу Украйна