ESpecter Bootkit har plantet bagdøre siden 2012
ESpecter er et ondsindet implantat, der er blevet identificeret som et bootkit. Selvom denne malware blev identificeret for nylig, har den været aktiv siden 2012 - dette viser, hvor snigende den har evnen til at være. Naturligvis er dens evne til at undgå sikkerhedsværktøjer ikke den eneste grund til dette – den er heller ikke blevet brugt i storstilede angreb. I stedet ser det ud til, at dets skabere har brugt ESpecter bootkit i målrettede angreb med et meget begrænset antal ofre.
I løbet af det sidste årti har specifikke sektioner af ESpecter gennemgået massive ændringer for at gøre dem kompatible med nuværende computersystemer. For eksempel virkede ældre varianter ved at infiltrere BIOS og Master Boot Record (MBR.) Men nutidige systemer bruger Unified Extensible Firmware Interface (UEFI) før indlæsning af OS. Dette er grunden til, at senere version af ESpecter fokuserede på at infiltrere UEFI-komponenten.
Hvilken malware installerede ESpecter Bootkit?
Typisk bruges bootkits i kombination med anden højprofileret malware, som er svær at opdage. I disse kampagner brugte de kriminelle ofte en specialbygget bagdør, som ESpecter indlæste automatisk. Takket være denne bagdør ville de kriminelle være i stand til at stjæle filer, optage tastetryk og udføre fjernkommandoer. Disse funktioner betyder sandsynligvis, at formålet med ESpecter-kampagnerne var spionage.
En interessant godbid af information om ESpecter-angrebet er, at det kun virker på systemer, som har Secure Boot- funktionen deaktiveret. Denne funktion blev introduceret i Windows 8, så alle Windows-maskiner, der kører Windows 8 eller nyere, kunne være sikre fra ESpecter takket være funktionen Secure Boot . Der er ikke nok information om de specifikke metoder, der bruges til at plante ESpecter på computere. Eksperter antyder, at angriberne kan have haft fysisk adgang til deres ofres maskiner, eller de har adgang til ukendte sårbarheder i UEFI-tjenester.