ESpecter Bootkit har planterat bakdörrar sedan 2012

ESpecter är ett skadligt implantat som har identifierats som ett bootkit. Även om denna skadliga programvara identifierades nyligen, har den varit aktiv sedan 2012 – detta visar hur smygande den har förmågan att vara. Naturligtvis är dess förmåga att undvika säkerhetsverktyg inte den enda anledningen till detta – den har inte heller använts i storskaliga attacker. Istället verkar dess skapare ha använt ESpecter bootkit i riktade attacker, med ett mycket begränsat antal offer.

Under det senaste decenniet har specifika delar av ESpecter genomgått stora förändringar för att göra dem kompatibla med nuvarande datorsystem. Till exempel fungerade äldre varianter genom att infiltrera BIOS och Master Boot Record (MBR.) Men moderna system använder Unified Extensible Firmware Interface (UEFI) innan operativsystemet laddas. Det är därför den senare versionen av ESpecter fokuserade på att infiltrera UEFI-komponenten.

Vilken skadlig programvara distribuerade ESspecter Bootkit?

Vanligtvis används bootkits i kombination med annan högprofilerad skadlig programvara som är svår att upptäcka. I dessa kampanjer använde brottslingarna ofta en specialbyggd bakdörr som ESpecter laddade automatiskt. Tack vare denna bakdörr skulle brottslingarna kunna stjäla filer, spela in tangenttryckningar och utföra fjärrkommandon. Dessa funktioner betyder förmodligen att syftet med ESpecter-kampanjerna var spionage.

En intressant information om ESpecter-attacken är att den bara fungerar på system som har Secure Boot- funktionen inaktiverad. Den här funktionen introducerades i Windows 8, så alla Windows-datorer som kör Windows 8 eller senare kunde vara säkra från ESpecter tack vare Secure Boot- funktionen. Det finns inte tillräckligt med information om de specifika metoder som används för att plantera ESpecter på datorer. Experter menar att angriparna kan ha haft fysisk åtkomst till offrets maskiner, eller så har de tillgång till okända sårbarheter i UEFI-tjänster.