ESpecter Bootkit har plantet bakdører siden 2012

ESpecter er et ondsinnet implantat, som har blitt identifisert som et bootkit. Selv om denne skadevare ble identifisert nylig, har den vært aktiv siden 2012 – dette viser hvor snikende den har evnen til å være. Selvfølgelig er dets evne til å unngå sikkerhetsverktøy ikke den eneste grunnen til dette – den har heller ikke blitt brukt i store angrep. I stedet ser det ut til at skaperne har brukt ESpecter bootkit i målrettede angrep, med et svært begrenset antall ofre.

I løpet av det siste tiåret har spesifikke deler av ESpecter gjennomgått store endringer for å gjøre dem kompatible med dagens datasystemer. For eksempel fungerte eldre varianter ved å infiltrere BIOS og Master Boot Record (MBR.) Men moderne systemer bruker Unified Extensible Firmware Interface (UEFI) før de laster inn operativsystemet. Dette er grunnen til at senere versjon av ESpecter fokuserte på å infiltrere UEFI-komponenten.

Hvilken skadelig programvare distribuerte ESspecter Bootkit?

Vanligvis brukes bootkits i kombinasjon med annen høyprofilert skadelig programvare som er vanskelig å oppdage. I disse kampanjene brukte de kriminelle ofte en spesialbygd bakdør som ESpecter lastet automatisk. Takket være denne bakdøren ville de kriminelle kunne stjele filer, registrere tastetrykk og utføre eksterne kommandoer. Disse funksjonene betyr sannsynligvis at formålet med ESspecter-kampanjene var spionasje.

En interessant godbit med informasjon om ESpecter-angrepet er at det bare fungerer på systemer som har Secure Boot- funksjonen deaktivert. Denne funksjonen ble introdusert i Windows 8, så alle Windows-maskiner som kjører Windows 8 eller nyere kan være trygge fra ESpecter takket være Secure Boot- funksjonen. Det er ikke nok informasjon om de spesifikke metodene som brukes for å plante ESpecter på datamaskiner. Eksperter antyder at angriperne kan ha hatt fysisk tilgang til offerets maskiner, eller de har tilgang til ukjente sårbarheter i UEFI-tjenester.