Az ESpecter Bootkit 2012 óta telepíti a hátsó ajtókat
Az ESpecter egy rosszindulatú implantátum, amelyet bootkitként azonosítottak. Bár ezt a rosszindulatú programot csak nemrég azonosították, 2012 óta aktív – ez jól mutatja, mennyire lopakodó is tud lenni. Ennek persze nem csak a biztonsági eszközök elkerülése az oka – nagyszabású támadásoknál sem használták. Ehelyett úgy tűnik, hogy készítői az ESpecter bootkit-et használták célzott támadásokhoz, nagyon korlátozott számú áldozattal.
Az elmúlt évtizedben az ESpecter egyes részei hatalmas változtatásokon mentek keresztül, hogy kompatibilisek legyenek a jelenlegi számítógépes rendszerekkel. Például a régebbi változatok úgy működtek, hogy beszivárogtak a BIOS-ba és a Master Boot Record-ba (MBR). A mai rendszerek azonban az Unified Extensible Firmware Interface-t (UEFI) használják az operációs rendszer betöltése előtt. Ez az oka annak, hogy az ESpecter későbbi verziója az UEFI-komponensek beszivárgására összpontosított.
Milyen rosszindulatú programot telepített az ESpecter Bootkit?
A rendszerindító készleteket általában más, nagy horderejű rosszindulatú programokkal együtt használják, amelyeket nehéz észlelni. Ezekben a kampányokban a bűnözők gyakran használtak egy egyedi építésű hátsó ajtót, amelyet az ESpecter automatikusan betölt. Ennek a hátsó ajtónak köszönhetően a bűnözők fájlokat lophatnak, billentyűleütéseket rögzíthetnek, és távoli parancsokat hajthatnak végre. Ezek a jellemzők valószínűleg azt jelentik, hogy az ESpecter-kampányok célja a kémkedés volt.
Az egyik érdekes információ az ESpecter támadásról, hogy csak azokon a rendszereken működik, amelyeken le van tiltva a Secure Boot funkció. Ezt a funkciót a Windows 8-ban vezették be, így a Secure Boot funkciónak köszönhetően minden Windows 8 vagy újabb rendszert futtató Windows gép biztonságban lehet az ESpecterrel szemben. Nincs elég információ az ESpecter számítógépekre ültetésének konkrét módszereiről. A szakértők szerint a támadók fizikailag hozzáférhettek áldozataik gépeihez, vagy hozzáférhettek az UEFI-szolgáltatások ismeretlen sérülékenységeihez.