Το ESpecter Bootkit φυτεύει Backdoors από το 2012
Το ESpecter είναι ένα κακόβουλο εμφύτευμα, το οποίο έχει αναγνωριστεί ως bootkit. Αν και αυτό το κακόβουλο λογισμικό εντοπίστηκε πρόσφατα, είναι ενεργό από το 2012 – αυτό δείχνει πόσο μυστικό έχει την ικανότητα να είναι. Φυσικά, η ικανότητά του να αποφεύγει εργαλεία ασφαλείας δεν είναι ο μόνος λόγος για αυτό – δεν έχει χρησιμοποιηθεί ούτε σε επιθέσεις μεγάλης κλίμακας. Αντίθετα, οι δημιουργοί του φαίνεται ότι χρησιμοποιούσαν το bootkit ESpecter σε στοχευμένες επιθέσεις, με πολύ περιορισμένο αριθμό θυμάτων.
Την τελευταία δεκαετία, συγκεκριμένα τμήματα του ESpecter έχουν υποστεί τεράστιες αλλαγές για να τα καταστήσουν συμβατά με τα τρέχοντα συστήματα υπολογιστών. Για παράδειγμα, παλαιότερες παραλλαγές λειτουργούσαν με διείσδυση στο BIOS και στο Master Boot Record (MBR.). Ωστόσο, τα σύγχρονα συστήματα χρησιμοποιούν την Ενοποιημένη Επεκτατική Διασύνδεση Υλικολογισμικού (UEFI) πριν από τη φόρτωση του λειτουργικού συστήματος. Αυτός είναι ο λόγος για τον οποίο η νεότερη έκδοση του ESpecter επικεντρώθηκε στη διείσδυση στο στοιχείο UEFI.
Τι κακόβουλο λογισμικό ανέπτυξε το ESpecter Bootkit;
Συνήθως, τα bootkits χρησιμοποιούνται σε συνδυασμό με άλλο κακόβουλο λογισμικό υψηλού προφίλ που είναι δύσκολο να εντοπιστεί. Σε αυτές τις καμπάνιες, οι εγκληματίες χρησιμοποιούσαν συχνά μια προσαρμοσμένη κερκόπορτα που το ESpecter φόρτωσε αυτόματα. Χάρη σε αυτήν την κερκόπορτα, οι εγκληματίες θα μπορούσαν να κλέβουν αρχεία, να καταγράφουν πατήματα πλήκτρων και να εκτελούν απομακρυσμένες εντολές. Αυτά τα χαρακτηριστικά σημαίνουν πιθανώς ότι ο σκοπός των εκστρατειών ESpecter ήταν η κατασκοπεία.
Μια ενδιαφέρουσα πληροφορία σχετικά με την επίθεση ESpecter είναι ότι λειτουργεί μόνο σε συστήματα που έχουν απενεργοποιημένη τη λειτουργία Ασφαλούς εκκίνησης. Αυτή η δυνατότητα εισήχθη στα Windows 8, επομένως όλα τα μηχανήματα με Windows με Windows 8 ή νεότερη έκδοση θα μπορούσαν να είναι ασφαλή από το ESpecter χάρη στη λειτουργία Ασφαλούς εκκίνησης . Δεν υπάρχουν αρκετές πληροφορίες σχετικά με τις συγκεκριμένες μεθόδους που χρησιμοποιούνται για την εγκατάσταση του ESpecter σε υπολογιστές. Οι ειδικοί προτείνουν ότι οι επιτιθέμενοι μπορεί να είχαν φυσική πρόσβαση στα μηχανήματα του θύματός τους ή να έχουν πρόσβαση σε άγνωστα τρωτά σημεία στις υπηρεσίες UEFI.