Эксперты eScan в России и СНГ прокомментировали появление Rakshasa — нового концептуального вредоносного ПО, способного заражать BIOS, CMOS и компрометировать систему на уровне «железа», не оставляя каких-либо следов на жестком диске компьютера. Rakshasa был представлен на конференции Black Hat французским исследователем в области информационной безопасности Джонатаном Броссаром, сообщили в eScan.
Концепт Rakshasa способен работать на более чем 200 моделях материнских плат и базируется на микропрограммах с открытым исходным кодом, предназначенных для замены проприетарных BIOS. Главное отличие новой вредоносной программы от других вирусов, атакующих BIOS — это возможность загрузки буткит-кода с уделенного сервера в оперативную память каждый раз при старте компьютера (буткит-код — это вредоносный код, загружающийся до старта ОС, что позволяет ему взять под контроль операционную систему и процесс её загрузки).
«Ранее вредоносные программы хранили буткит-код в MBR (главной загрузочной записи) жесткого диска. Теперь же концепт-вирус Rakshasa продемонстрировал возможность удаленной загрузки буткит-кода, что, без сомнения, усложняет или даже делает невозможным обнаружение такой вредоносной программы традиционными антивирусными решениями, работающими на уровне операционной системы, — считает руководитель экспертной группы eScan в России и СНГ Николай Ионов. — Особенная опасность таких вредоносных программ заключается в том, что в отличие от традиционных вирусов компьютерная система остается скомпрометированной и после полной переустановки ОС. Для полного удаления следов вредоносной программы может понадобиться дорогостоящая процедура перепрошивки многих “железных” компонентов, включая материнские платы и сетевые карты, что в некоторых случаях может быть сопоставимо со стоимостью компьютера. Потенциально такой тип вредоносных программ представляет очень большую угрозу».
«К счастью, на сегодня данный концепт является лишь “лабораторной” разработкой, главная цель которой — привлечение внимания не только к защите операционных систем и программ, но также и к безопасности “железа”, — подчеркнул эксперт eScan. — Для защиты от подобных вирусов необходимо тесное сотрудничество вендоров антивирусного ПО с производителями аппаратных средств и разработчиками прошивок. Необходимо использовать высокоэффективные решения, способные анализировать всю сетевую активность компьютеров сети и верифицировать целостность ПО, встроенного в аппаратное обеспечение».
По мнению Николая Ионова, появление подобного концептуального вредоносного ПО поднимает важные вопросы безопасности, связанные с утечкой конфиденциальных и секретных данных. «Потенциально злоумышленники могут использовать аналогичные технологии для заражения компьютерных систем ещё на стадии поставки комплектующих, что делает обнаружение “закладок” крайне затруднительным», — заключил эксперт.
Источник: CNews
|