image

FinFisher-spyware gebruikt UEFI-bootkit voor infecteren van computers

woensdag 29 september 2021, 11:05 door Redactie, 4 reacties

Onderzoekers hebben een exemplaar van de FinFisher-spyware ontdekt die via een UEFI-bootkit op computers wordt geïnstalleerd. FinFisher is door Gamma International ontwikkelde spyware die overheden en opsporingsdiensten al zeker sinds 2011 voor surveillancedoeleinden inzetten. Het kan wachtwoorden verzamelen, heeft toegang tot microfoon en camera en kan bestanden stelen. Er bestaan FinFisher-versies voor Linux, macOS en Windows.

FinFisher wordt onder andere via getrojaniseerde software verspreid. Zo zijn er versies van WinRAR, VLC media player en TeamViewer ontdekt die van de spyware waren voorzien en via malafide websites werden aangeboden. Daarnaast wordt FinFisher ook via UEFI- en Master Boot Record (MBR)-bootkits geïnstalleerd. Het gebruik van MBR-bootkits door FinFisher was al bekend, maar de spyware kan systemen ook via UEFI-bootkits infecteren, meldt antivirusbedrijf Kaspersky in een nieuwe analyse.

De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben.

De UEFI-bootkit vervangt de Widows Boot Manager door een malafide versie die onder andere de FinFisher-spyware vanaf een aparte partitie laadt en uitvoert. "Deze infectiemethode zorgt ervoor dat de aanvallers een bootkit kunnen installeren zonder de beveiligingscontroles van de firmware te hoeven omzeilen. UEFI-infecties zijn zeer zeldzaam en over het algemeen lastig uit te voeren", aldus Kaspersky. Om geen sporen achter te laten kan FinFisher de originele MBR en de EFI Windows Boot Manager herstellen.

Reacties (4)
29-09-2021, 15:32 door Anoniem
Wat als je een wachtwoord op je UEFI instelt ? Geen probleem meer ?
29-09-2021, 18:57 door Anoniem
Er bestaan FinFisher-versies voor Linux, macOS en Windows.
Ik vraag mij af of deze FinFisher in de nieuwste versie van MacOS wel kan binnendringen. Sinds de fabrikant System Integrity Protection (SIP) heeft doorgevoerd, kan niets meer op systeemniveau worden geïnstalleerd, als deze niet voorzien is van een geldige digitale handtekening van Apple.
30-09-2021, 09:00 door Anoniem
dus zo secure is dat secure boot dus niet in den praktijk als je een OS gebruikt dat zo powed is..... maar ga gerust allemaal aan de MFA hoor!
30-09-2021, 12:26 door Anoniem
Door Anoniem:
Er bestaan FinFisher-versies voor Linux, macOS en Windows.
Ik vraag mij af of deze FinFisher in de nieuwste versie van MacOS wel kan binnendringen. Sinds de fabrikant System Integrity Protection (SIP) heeft doorgevoerd, kan niets meer op systeemniveau worden geïnstalleerd, als deze niet voorzien is van een geldige digitale handtekening van Apple.

Het op afstand kunnen hacken van de firmware, om daar een achterdeur in te kunnen plaatsen, is de heilige graal van de digitale spionage industrie. Iedere poging tot malware mitigatie op het niveau van het besturingssysteem, hetzij door de ontwikkellaar dan wel de gebruiker zelf, is dan bij voorbaat nutteloos. Vandaar de noodzaak om open hardware en open firmware toe te passen, die audits moeten kunnen ondergaan, voorwaarden waaraan Apple met SIP niet voldoet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.