ESpecter Bootkit įrengė užpakalines duris nuo 2012 m

ESpecter yra kenkėjiškas implantas, kuris buvo identifikuotas kaip įkrovos rinkinys. Nors ši kenkėjiška programa buvo aptikta visai neseniai, ji aktyviai veikia nuo 2012 m. – tai rodo, kokia slapta ji gali būti. Žinoma, jo galimybė išvengti saugos priemonių nėra vienintelė priežastis – jis taip pat nebuvo naudojamas didelio masto atakoms. Atrodo, kad jo kūrėjai naudojo ESpecter įkrovos rinkinį tikslinėms atakoms, kurių aukų skaičius buvo labai ribotas.

Per pastarąjį dešimtmetį tam tikros ESpecter sekcijos buvo smarkiai pakeistos, kad jos būtų suderinamos su dabartinėmis kompiuterinėmis sistemomis. Pavyzdžiui, senesni variantai veikė įsiskverbdami į BIOS ir pagrindinį įkrovos įrašą (MBR). Tačiau šiuolaikinėse sistemose prieš įkeliant OS naudojama Unified Extensible Firmware Interface (UEFI). Štai kodėl vėlesnė ESpecter versija buvo skirta įsiskverbti į UEFI komponentą.

Kokią kenkėjišką programą įdiegė ESpecter Bootkit?

Paprastai įkrovos rinkiniai naudojami kartu su kitomis aukšto lygio kenkėjiškomis programomis, kurias sunku aptikti. Šiose kampanijose nusikaltėliai dažnai naudojo pagal užsakymą pagamintas užpakalines duris, kurias ESpecter įkeldavo automatiškai. Dėl šių užpakalinių durų nusikaltėliai galės pavogti failus, įrašyti klavišų paspaudimus ir vykdyti nuotolines komandas. Šios savybės tikriausiai reiškia, kad ESpecter kampanijų tikslas buvo šnipinėjimas.

Viena įdomi informacijos apie ESpecter ataką yra ta, kad ji veikia tik sistemose, kuriose išjungta saugaus įkrovimo funkcija. Ši funkcija buvo įdiegta „Windows 8“, todėl visi „Windows“ įrenginiai, kuriuose veikia „Windows 8“ ar naujesnė versija, gali būti apsaugoti nuo „EPeter“ dėl saugaus įkrovimo funkcijos. Trūksta pakankamai informacijos apie konkrečius metodus, naudojamus ESpectre įrengiant kompiuteriuose. Ekspertai teigia, kad užpuolikai galėjo turėti fizinę prieigą prie savo aukos mašinų arba jie turėjo prieigą prie nežinomų UEFI paslaugų spragų.