ESpecter Bootkit внедряет бэкдоры с 2012 года
ESpecter - это вредоносный имплант, который был идентифицирован как буткит. Хотя это вредоносное ПО было обнаружено совсем недавно, оно активно с 2012 года - это показывает, насколько скрытным оно может быть. Конечно, его способность избегать средств защиты - не единственная причина этого - он также не использовался в крупномасштабных атаках. Вместо этого его создатели, похоже, использовали буткит ESpecter в целевых атаках с очень ограниченным числом жертв.
За последнее десятилетие определенные разделы ESpecter претерпели серьезные изменения, чтобы сделать их совместимыми с текущими компьютерными системами. Например, более старые варианты работали путем проникновения в BIOS и основную загрузочную запись (MBR). Однако современные системы перед загрузкой ОС используют унифицированный расширяемый интерфейс микропрограмм (UEFI). Вот почему более поздняя версия ESpecter была сосредоточена на проникновении в компонент UEFI.
Какое вредоносное ПО было развернуто при загрузке ESpecter Bootkit?
Обычно буткиты используются в сочетании с другими крупными вредоносными программами, которые трудно обнаружить. В этих кампаниях злоумышленники часто использовали специальный бэкдор, который ESpecter загружал автоматически. Благодаря этому бэкдору злоумышленники могли красть файлы, записывать нажатия клавиш и выполнять удаленные команды. Эти особенности, вероятно, означают, что целью кампаний ESpecter был шпионаж.
Один интересный лакомый кусочек информации об атаке ESpecter заключается в том, что она работает только в системах, в которых отключена функция безопасной загрузки. Эта функция была представлена в Windows 8, поэтому все машины с Windows под управлением Windows 8 или новее могут быть защищены от ESpecter благодаря функции безопасной загрузки . Недостаточно информации о конкретных методах, используемых для установки ESpecter на компьютеры. Эксперты предполагают, что злоумышленники могли иметь физический доступ к машинам своей жертвы или иметь доступ к неизвестным уязвимостям в сервисах UEFI.