Milyonlarca PC anakartı arka kapı yazılımı ile satıldı – Ars Technica

Bir bilgisayarın işletim sistemini nasıl yükleyeceğini söyleyen derin kod olan bir bilgisayarın UEFI donanım yazılımında saklanan kötü amaçlı yazılım, bilgisayar korsanlarının kılık değiştirmiş araç setinde kötü niyetli bir hile haline geldi. Ancak bir anakart üreticisi, milyonlarca bilgisayarın sabit yazılımına kendi gizli arka kapısını yüklediğinde ve bu gizli arka kapıya düzgün bir kilit koymadığında, pratikte bilgisayar korsanlarının işini onlar için yapıyor demektir.

Donanım yazılımı odaklı siber güvenlik firması Eclypsium’daki araştırmacılar bugün, bileşenleri genellikle oyun bilgisayarlarında ve diğer yüksek performanslı bilgisayarlarda kullanılan Tayvanlı üretici Gigabyte tarafından satılan anakartların ürün yazılımında gizli bir mekanizma keşfettiklerini açıkladılar. Etkilenen bir Gigabyte anakarta sahip bir bilgisayar yeniden başlatıldığında, Eclypsium, anakartın ürün yazılımı içindeki kodun görünmez bir şekilde bilgisayarda çalışan bir güncelleme programını başlattığını ve ardından başka bir programı indirip çalıştırdığını tespit eder.

Eclypsium, gizli kodun anakartın ürün yazılımını güncel tutmak için zararsız bir araç olduğunu söylese de, araştırmacılar bunun güvenli olmayan bir şekilde uygulandığını ve bunun da mekanizmanın ele geçirilmesine ve amaçlanan yerine kötü amaçlı yazılım yüklemek için kullanılmasına izin verebileceğini keşfettiler. Gigabyte yazılımı. Güncelleyici, işletim sisteminin dışında, bilgisayarın üretici yazılımından çalıştığı için, kullanıcıların onu kaldırması ve hatta algılaması zordur.

Eclypsium’da strateji ve araştırmaya liderlik eden John Lucidis diyor. “Son kullanıcının emrinde çalışma ve cihazını ele geçirme konsepti çoğu insan için pek uygun değil.”

şöyle Araştırma hakkında blog yazısıEclypsium, araştırmacıların etkilendiğini söylediği 271 tipik GIGABYTE anakartını listeler. Loucaides, bir bilgisayarın hangi anakartı kullandığını öğrenmek isteyen kullanıcıların Windows Başlat’a ve ardından Sistem Bilgileri’ne giderek kontrol edebileceklerini ekliyor.

Eclypsium, sofistike bilgisayar korsanları tarafından giderek daha popüler hale gelen bir araç olan üretici yazılımı tabanlı kötü amaçlı kod için müşteri bilgisayarlarını tararken Gigabyte’ın gizli ürün yazılımı mekanizmasını bulduğunu söylüyor. Örneğin 2018’de, Rusya’nın askeri istihbarat teşkilatı GRU adına çalışan bilgisayar korsanları sessizce kurulum yaparken yakalandı. Casusluk taktiği olarak kurbanların cihazlarında bellenim tabanlı hırsızlık önleme yazılımı LoJack. Çin devlet destekli bilgisayar korsanları iki yıl sonra tespit edildi Üretici yazılımı tabanlı bir casus yazılım aracını yeniden kullanın Afrika, Asya ve Avrupa’daki diplomatların ve STK personelinin bilgisayarlarını hedeflemek için kiralık bilgisayar korsanlığı şirketi Hacking Team tarafından oluşturuldu. Eclypsium araştırmacıları, Gigabyte’ın devlet destekli bilgisayar korsanlığı araçları gibi bazı şüpheli davranışları gerçekleştirmek için güncelleme mekanizmasını ortaya çıkaran otomatik taramaları görünce şaşırdılar.

Tek başına Gigabyte güncelleyici, Gigabyte’a güvenmeyen ve neredeyse görünmez bir araç kullanarak cihazlarına sessizce kod yükleyen kullanıcıları alarma geçirmiş olabilir – veya Gigabyte’ın mekanizmasının, anakart üreticisini ihlal ederek gizli erişiminden yararlanmak için Gigabyte’ın mekanizmasından yararlanabileceğinden korkan kullanıcıları alarma geçirmiş olabilir. Yazılım tedarik zinciri saldırısı. Ancak Eclypsium, güncelleme mekanizmasının, tehlikeye girmesine izin verebilecek göze çarpan güvenlik açıklarıyla uygulandığını da keşfetti: kodu, bir kullanıcının makinesine düzgün bir şekilde doğrulamadan, hatta bazen HTTPS yerine korumasız bir HTTP bağlantısı üzerinden indirir. Bu, sahte bir Wi-Fi ağı gibi kullanıcının İnternet bağlantısını engelleyebilecek herhangi biri tarafından gerçekleştirilen bir ortadaki adam saldırısıyla kurulum kaynağının atlatılmasına olanak tanır.

Diğer durumlarda, mekanizma tarafından yüklenen güncelleyici, Gigabyte’ın ürün yazılımında yerel bir ağa bağlı depolama (NAS) cihazından indirilmek üzere yapılandırılır; bu özellik, iş ağlarının tüm makineleri İnternet’e erişmeden güncellemeleri yönetmesi için tasarlanmış gibi görünen bir özelliktir. Ancak Eclypsium, bu durumlarda aynı ağdaki kötü niyetli bir aktörün NAS’ın kimliğine bürünerek kendi kötü amaçlı yazılımını görünmez bir şekilde yükleyebileceği konusunda uyarıyor.

Eclypsium, bulgularını anakart üreticisine açıklamak için Gigabyte ile birlikte çalıştığını ve Gigabyte’ın sorunları çözmeyi planladığını söyledi. Gigabyte, WIRED’in Eclypsium sonuçlarıyla ilgili çok sayıdaki yorum talebine yanıt vermedi.

Gigabyte kendi ürün yazılımı sorununu çözse bile – sonuçta sorun, ürün yazılımı güncellemelerini otomatikleştirmeyi amaçlayan bir Gigabyte aracından kaynaklanıyor – Eclypsium’dan Loucaides, ürün yazılımı güncellemelerinin sık sık olduğuna dikkat çekiyor Kullanıcıların makinelerinde sessizce iptal edin, çoğu durumda karmaşıklığı ve ürün yazılımı ile donanımı eşleştirmedeki zorluğu nedeniyle. Lukaides, “Bunun önümüzdeki yıllarda GIGABYTE anakartlarında oldukça yaygın bir sorun haline geleceğini düşünüyorum” diyor.

Tedarik zinciri odaklı siber güvenlik girişimi Crash Override’ın baş güvenlik sorumlusu Rich Smith, potansiyel olarak etkilenen milyonlarca cihaz göz önüne alındığında, Eclypsium keşfinin “endişe verici” olduğunu söylüyor. Smith, ürün yazılımı güvenlik açıkları için bir arama yayınladı ve Eclypsium sonuçlarını inceledi. Durumu 2000’lerin ortasındaki Sony rootkit skandalıyla karşılaştırıyor. Sony, DRM kodunu kullanıcıların bilgisayarlarına görünmez bir şekilde yüklenen CD’lere saklayarak, bilgisayar korsanlarının kötü amaçlı yazılımlarını gizlemek için kullandıkları bir güvenlik açığı oluşturdu. Smith, “Geleneksel olarak kötü niyetli aktörler tarafından kullanılan teknikleri kullanabilirsiniz, ancak bu kabul edilebilir değildi, çok ileri gitti,” diyor. “Gigabyte’ın yazılımını sunmak için neden bu yöntemi seçtiğini anlayamıyorum. Ama bana göre bu, bellenim alanında benzer bir çizgiyi geçmek gibi geliyor.”

Smith, Gigabyte’ın gizli bellenim aracında kötü niyetli veya aldatıcı bir amacı olmayabileceğini kabul eder. Ancak güvenlik açıklarını birçok bilgisayarın işletim sisteminin altında yatan görünmez kodda bırakarak, yine de kullanıcıların donanımlarına olan temel güven katmanını aşındırırlar. Smith, “Burada bir kasıt yok, sadece pislik var. Ama kimsenin aygıt yazılımımı kirli yazmasını istemiyorum. Aygıt yazılımınıza güvenmiyorsanız, evinizi kuma inşa ediyorsunuz demektir.”

Bu hikaye başlangıçta ortaya çıktı kablolu.com.