Εκατοντάδες μοντέλα μητρικών καρτών Gigabyte που αποστέλλονται με υλικολογισμικό Backdoor

Ερευνητές της εταιρείας κυβερνοασφάλειας Eclypsium ανακάλυψαν έναν κρυφό μηχανισμό ενσωματωμένο στο υλικολογισμικό των μητρικών καρτών Gigabyte, οι οποίες χρησιμοποιούνται συνήθως σε υπολογιστές παιχνιδιών και υπολογιστές υψηλής απόδοσης. Όταν ένας υπολογιστής με την επηρεασμένη μητρική πλακέτα επανεκκινείται, αυτός ο κρυφός κώδικας ενεργοποιεί ένα πρόγραμμα ενημέρωσης εντός του υλικολογισμικού. Στη συνέχεια, το πρόγραμμα κατεβάζει και εκτελεί πρόσθετο λογισμικό στον υπολογιστή.

Ενώ η Gigabyte σκόπευε αυτόν τον κρυφό κώδικα να χρησιμεύσει ως καλό εργαλείο για ενημερώσεις υλικολογισμικού, το Eclypsium διαπίστωσε ότι εφαρμόστηκε με ανασφάλεια. Αυτό δημιουργεί μια πιθανή ευπάθεια που θα μπορούσε να εκμεταλλευτεί οι εισβολείς για να εγκαταστήσουν κακόβουλο λογισμικό αντί του προβλεπόμενου λογισμικού της Gigabyte. Το γεγονός ότι το πρόγραμμα ενημέρωσης εκκινείται από το υλικολογισμικό του υπολογιστή, εκτός του λειτουργικού συστήματος, καθιστά δύσκολο τον εντοπισμό ή την κατάργηση των χρηστών.

Ο John Loucaides, επικεφαλής στρατηγικής και έρευνας στο Eclypsium, υπογραμμίζει την ανησυχία που θα έπρεπε να έχουν οι χρήστες σχετικά με αυτήν τη συμπεριφορά, καθώς οι μηχανές τους ανακτούν εν αγνοία τους και εκτελούν κώδικα από το διαδίκτυο χωρίς τα κατάλληλα μέτρα ασφαλείας. Τονίζει ότι η ιδέα μιας υποκείμενης διαδικασίας που αναλαμβάνει τον έλεγχο του μηχανήματος ενός χρήστη χωρίς τη συμμετοχή του είναι ανησυχητική για τους περισσότερους ανθρώπους.

Εκατοντάδες επηρεασμένα μοντέλα μητρικών πλακών

Στην ανάρτησή τους στο blog, το Eclypsium παρέχει μια λίστα με μοντέλα μητρικών πλακών 271 Gigabyte που πιστεύεται ότι επηρεάζονται. Ο Loucaides προτείνει ότι οι χρήστες μπορούν να ελέγχουν ποια μητρική πλακέτα χρησιμοποιεί ο υπολογιστής τους, μεταβαίνοντας στο μενού "Έναρξη" στα Windows και πλοήγηση στις "Πληροφορίες συστήματος".

Η παρουσία του προγράμματος ενημέρωσης της Gigabyte από μόνη της μπορεί να εγείρει ανησυχίες για τους χρήστες που είναι επιφυλακτικοί για την αθόρυβη εγκατάσταση κώδικα στους υπολογιστές τους από τον κατασκευαστή, ειδικά λαμβάνοντας υπόψη το κρυφό σημείο πρόσβασης που παρέχει στην αλυσίδα εφοδιασμού λογισμικού. Ωστόσο, η έρευνα του Eclypsium αποκαλύπτει ότι ο ίδιος ο μηχανισμός ενημέρωσης έχει σημαντικά τρωτά σημεία. Κατεβάζει κώδικα στο μηχάνημα του χρήστη χωρίς τον κατάλληλο έλεγχο ταυτότητας, μερικές φορές μέσω μη ασφαλών συνδέσεων HTTP αντί για HTTPS. Αυτό επιτρέπει την πλαστογράφηση της πηγής εγκατάστασης μέσω μιας επίθεσης man-in-the-middle, όπως η παρεμπόδιση της σύνδεσης του χρήστη στο διαδίκτυο μέσω ενός αδίστακτου δικτύου Wi-Fi.

Σε ορισμένες περιπτώσεις, το πρόγραμμα ενημέρωσης που εγκαθίσταται από τον μηχανισμό υλικολογισμικού της Gigabyte έχει ρυθμιστεί για λήψη από μια συσκευή αποθήκευσης συνδεδεμένη στο τοπικό δίκτυο (NAS), μια δυνατότητα που έχει σχεδιαστεί κυρίως για τις επιχειρήσεις να διαχειρίζονται κεντρικά τις ενημερώσεις χωρίς να βασίζονται σε συνδέσεις Διαδικτύου για κάθε μηχάνημα. Ωστόσο, το Eclypsium προειδοποιεί ότι κακόβουλοι παράγοντες στο ίδιο δίκτυο θα μπορούσαν να χειραγωγήσουν την τοποθεσία του NAS για να εγκαταστήσουν κρυφά το δικό τους κακόβουλο λογισμικό.

Πιθανές επιπτώσεις του ζητήματος

Η ανακάλυψη του Eclypsium είναι ανησυχητική λόγω των πιθανών επιπτώσεων σε εκατομμύρια συσκευές. Ο Rich Smith, Chief Security Officer της startup Crash Override που εστιάζει στην ασφάλεια στον κυβερνοχώρο εφοδιασμού, βρίσκει ότι η κατάσταση θυμίζει το σκάνδαλο της Sony rootkit από τα μέσα της δεκαετίας του 2000. Σε εκείνη την περίπτωση, η Sony έκρυψε κώδικα διαχείρισης ψηφιακών δικαιωμάτων σε CD, τα οποία εγκαταστάθηκαν κρυφά στους υπολογιστές των χρηστών και δημιούργησαν μια ευπάθεια που οι χάκερ εκμεταλλεύτηκαν για να κρύψουν το κακόβουλο λογισμικό τους. Ο Smith κάνει έναν παραλληλισμό, δηλώνοντας ότι ενώ τεχνικές που χρησιμοποιούνται από κακόβουλους παράγοντες μπορεί να έχουν υιοθετηθεί από την Gigabyte, διασχίζει μια παρόμοια γραμμή στον τομέα του υλικολογισμικού.