HackingTeam heeft BIOS-rootkit voor permanente infectie
Het Italiaanse HackingTeam beschikt over een UEFI BIOS-rootkit om computers permanent met de spyware van het bedrijf te infecteren. Dat stelt het Japanse anti-virusbedrijf Trend Micro aan de hand van de data die recentelijk bij het Italiaanse bedrijf werd buitgemaakt.
HackingTeam biedt overheidsinstanties een "Remote Control System" (RCS) waarmee opsporingsdiensten op afstand toegang tot de computers van bijvoorbeeld verdachten kunnen krijgen. Om ervoor te zorgen dat de software ook op computers blijft staan, zelfs als de harde schijf wordt geformatteerd of door een nieuw exemplaar wordt vervangen, heeft HackingTeam een UEFI BIOS-rootkit ontwikkeld.
Het BIOS (Basic Input/Output System), alsmede de Unified Extensible Firmware Interface (UEFI) dat de opvolger van het BIOS is, is een verzameling basisinstructies voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. In het geval van HackingTeam gaat het om een rootkit voor het UEFI BIOS van Insyde Software. Het bedrijf maakt BIOS-software voor laptops.
Fysieke toegang
Om de rootkit te installeren moet er wel fysieke toegang tot het systeem worden verkregen. Volgens analist Philippe Lin van Trend Micro kan echter niet worden uitgesloten dat het ook mogelijk is om de rootkit op afstand te installeren. Het Italiaanse bedrijf ontwikkelde ook een hulptool voor gebruikers van de rootkit en biedt ondersteuning in het geval de BIOS-image niet compatibel is. Volgens Lin kan de rootkit worden aangepast zodat die ook met andere BIOS-software werkt, zoals die van de bekende softwareleverancier AMI.
Om zich tegen de aanvallen te beschermen krijgen gebruikers van Lin het advies om UEFI SecureFlash in het BIOS in te schakelen, het BIOS te updaten als er updates beschikbaar zijn en een wachtwoord in te stellen om toegang tot het BIOS of de UEFI te krijgen. Het is bij veel computers echter mogelijk om het wachtwoord te resetten, maar in dit geval zou een gebruiker kunnen zien dat er iets mis is omdat hij geen wachtwoord meer hoeft op te geven of zijn oorspronkelijke wachtwoord niet meer werkt.
Enige dagen terug vond ik een mail van HackingTeam op Wikileaks die stelde dat zij tijdens een huiszoeking aanwezig zouden zijn - bij een niet nader genoemd adres - om daar het computersysteem fysiek te benaderen. Dit zou betekenen dat tijdens een huiszoeking malware, danwel deze Bios/UEFI Rootkit zou zijn geinstalleerd. Het stond er weliswaar niet bij, maar nu gaat mij toch een licht branden.
Enige dagen terug vond ik een mail van HackingTeam op Wikileaks die stelde dat zij tijdens een huiszoeking aanwezig zouden zijn - bij een niet nader genoemd adres - om daar het computersysteem fysiek te benaderen. Dit zou betekenen dat tijdens een huiszoeking malware, danwel deze Bios/UEFI Rootkit zou zijn geinstalleerd. Het stond er weliswaar niet bij, maar nu gaat mij toch een licht branden.
Jaren geleden gebruikte ik weleens een tooltje, genaamd CMOS Viewer, waarmee je de BIOS kon flashen.
Zou zo'n BIOS-flash de rootkit niet gewoon kunnen overschrijven?
Ik weet niet hoe dat precies met UEFI zit. Maar het lijkt me toch dat als er een rootkit naartoe geschreven kan worden, je die ook weer kunt overschrijven?
Het alternatief is alles van iedere onschuldige burger afluisteren, profileren en gebruik van encryptie verbieden.
Ik ben niet tegen dit middel, ik ben tegen een ongecontroleerde opsporingsdienst.
Met absolute macht komt ...
En wanneer je dit bedrijf wilt aanpakken, waarom dan niet alle andere organisaties (incl. de overheid) die zich met spionage bezig houden? Dit is toch niks nieuws onder zon, of wel dan...
https://wikileaks.org/hackingteam/emails/emailid/802015
vertaling:
De PG heeft geen beknopte informatie over het apparaat dat kan een notebook windows (95%) of osx. (5%) (zijn)
We hebben al de offline-installatie voorbereid (zowel USB en CD / DVD) op (beide) gevallen te dekken.
Echter, er is (een) licentie (nodig) voor OSX platform.
Als die opsporingsdiensten zorgvuldig zijn (ijdele hoop....) zouden ze dat er ook weer af moeten halen als blijkt dat de verdachte toch onschuldig is.
/edit 17:18: of als de laptop inbeslag is genomen, verbeurd verklaard en later via veiling wordt verkocht.
Ergens las ik dat Hacking Team aangeeft in haar promotie dat met gebruik van hun software desnoods vele duizende computers tegelijk besmet kunnen worden.
Wanneer dat ook met rootkits kan, dan zal het op termijn ook gaan gebeuren.
Dat betekent dat er heel veel hardware besmet zal raken met op termijn ook niet meer verwijderbare rootkits.
In ieder geval zal de hardware met Biosrootkits gaan zwerven omdat de besmette harware vroeg of laat afgedankt gaat worden.
Dat betekent heel concreet dat de tweedehands markt voor hardware daarmee volledig gaat instorten.
Je kan er immers niet meer van op aan of je nog veilige hardware koopt en de ouderwetse oplossing van harddisk vervangen en een nieuw os installeren helpt niet meer.
Hacking team en surveilance diensten zetten een versnelde spiraal in gang en maken heel veel kapot: namelijk essentieel vertrouwen in het maatschappelijk en economisch verkeer.
De werkwijze is het gevolg van een definitief moreel bankroet en is daarnaast een feitelijke oorlogsverklaring aan de maatschappij.
De vraag is waar de maatschappij zelf de definitieve rode lijn van het ontoelaatbare trekt.
Een indringend maatschappelijk signaal is afgelopen week gegeven.
UEFI = Unified Extensible Firmware Interface
Ergens las ik dat Hacking Team aangeeft in haar promotie dat met gebruik van hun software desnoods vele duizende computers tegelijk besmet kunnen worden.
Wanneer dat ook met rootkits kan, dan zal het op termijn ook gaan gebeuren.
Dat betekent dat er heel veel hardware besmet zal raken met op termijn ook niet meer verwijderbare rootkits.
In ieder geval zal de hardware met Biosrootkits gaan zwerven omdat de besmette harware vroeg of laat afgedankt gaat worden.
Dat betekent heel concreet dat de tweedehands markt voor hardware daarmee volledig gaat instorten.
Je kan er immers niet meer van op aan of je nog veilige hardware koopt en de ouderwetse oplossing van harddisk vervangen en een nieuw os installeren helpt niet meer.
Hacking team en surveilance diensten zetten een versnelde spiraal in gang en maken heel veel kapot: namelijk essentieel vertrouwen in het maatschappelijk en economisch verkeer.
De werkwijze is het gevolg van een definitief moreel bankroet en is daarnaast een feitelijke oorlogsverklaring aan de maatschappij.
De vraag is waar de maatschappij zelf de definitieve rode lijn van het ontoelaatbare trekt.
Een indringend maatschappelijk signaal is afgelopen week gegeven.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
