Ištrinti operacinę nepadės
Kenkėjiška programa, kurią aptiko ESET ekspertai, veikia perrašant kompiuterio paleisties kodą. Jis gali įsilaužti į UEFI atmintį, kuri yra įrengta motininėje plokštėje ir šiuolaikiniuose kompiuteriuose yra atsakinga už jo paleidimą ar perkrovimą.
Leidinio „Daily Beast“ teigimu, Rusijos Vyriausioji žvalgybos valdyba (GRU) slapčia sukūrė šį naują virusą, kurio faktiškai neįmanoma aptikti, kuris gali „išgyventi“ net atlikus visišką duomenų sunaikinimą tame kompiuteryje, ir tai leidžia Kremliaus programišiams sugrįžti faktiškai neribotai.
Galimybė prisijungti prie UEFI atminties leidžia programišiams išlaikyti kompiuterio kontrolę, net jeigu yra perrašoma operacinė sistema ar pakeičiamas kompiuterio standusis diskas.
Nulaužė programos kodą
Savaime suprantama, Rusijos programišiai kol kas dar nepasiekė tokių galių, kad galėtų taip paprastai ir su tokia galia paveikti, nulaužti kompiuterį. Saugumo ekspertai iki šių metų pavasario apskritai tik teoriškai žinojo apie tokią UEFI saugumo spragos išnaudojimo galimybę.
Praėjusiais metais „WikiLeaks“ taip pat paviešino, jog CIA naudojosi panašia programine įranga, galėjusia įsilaužti į macOS kompiuterius. JAV žvalgybininkų atveju, tai galėjo būti naudojama vienetiniais atvejais ir nebuvo platinama, kaip virusas.
2018-ųjų kovą „Arbor Networks’ ASERT“ saugumo komanda pranešė aptikusi kenkėjišką programinę įrangą, kuri buvo paslėpta „Absolute LoJack“ programoje. „LoJack“ leido vartotojams aptikti kompiuterio buvimo vietą vagystės atveju. Rusijos programišiai sugebėjo nukopijuoti vieną šios programos kodo dalį, kuris siuntė duomenis į „Absolute Software“ serverius ir nukreipė juos į „Fancy Bear“ valdomus serverius.
ESET saugumo ekspertai šią kenkėjišką programinę įrangą pavadino „LoJax“. Jų teigimu, tai tebuvo tik aisbergo viršūnė, todėl pradėta ieškoti daugiau galimai apkrėstų kompiuterių ar programinės įrangos Rytų Europoje ir Balkanuose.
Tuomet jie ir aptiko, jog „LoJax“ komponentai pradėjo „laužtis“ į motininės plokštės UEFI atmintį. Pažeidžiamuose UEFI komponentuose jie netgi sugebėjo įdiegti savo kodą.
Kiekvieno persikrovimo metu jis patikrina ar „Windows“ aplinkoje veikia kenkėjiškas kodas, o jeigu jis būna ištrintas, tiesiog įrašo jį iš naujo.
Kol kas tyrėjai aptiko tik vieną kompiuterį su apkrėsta UEFI atmintimi ir daug kompiuterių su kenkėjiška programa apkrėsta „LoJack“ programa. Tačiau visas paieškos procesas yra pakankamai naujas, o programišiai galėjo sukurti ir kitas viruso versijas.
Rodo Kremliaus kėslus
Bendrovės ESET ekspertų teigimu, tai yra įrodymas, jog „Fancy Bear“ programišiai „gali būti dar pavojingesni, negu mes prieš tai manėme“.
JAV žvalgyba yra identifikavusi „Fancy Bear“ kaip dvi GRU grupes, o JAV kaltintojas Robertas Muelleris vasarą nurodė, jog 12 šios grupės narių, Rusijos žvalgybininkų, prisidėjo prie įsilaužimo į JAV prezidento rinkimus.
Tokio pobūdžio kenkėjiškos programos atsiradimas rodo, jog Kremlius ir toliau intensyviai tobulina savo puolamąsias kibernetines pajėgas, nepaisant 2016-ųjų skandalo JAV.
Leidinyje pažymima, jog GRU programišiai aktyviai vykdo savo veiklą jau mažiausiai 12 metų: įsilaužimai į NATO, B. Obamos valdymo laikotarpiu – Baltuosius rūmus, Prancūzijos televizijos stotį, Pasaulinę antidopingo organizaciją, begalę nevalstybinių, karinių organizacijų Europoje, Azijoje ir Kaukaze.
„Nėra jokio Rusijos programišių veiklos mažėjimo požymių“, – pareiškė buvęs FTB antiterorizmo skyriaus agentas Clintas Wattsas, pastaruoju metu dirbantis „Foreign Policy Research“ institute. – O kai nėra jokių požymių, tai reiškia, kad jie nesirengia sustoti, ir jų veikla bus vis labiau ir labiau sofistikuota“.
Jis taip pat pažymėjo, kad GRU turi pačius geriausius programuotojus, o šių sukuriama produkcija – kibernetiniai ginklai – iškart yra paleidžiami išbandyti.
