image

Onderzoekers twijfelen aan mysterieuze BIOS-malware

woensdag 6 november 2013, 16:06 door Redactie, 6 reacties

Verschillende beveiligingsonderzoekers twijfelen of de mysterieuze BIOS-malware die een andere onderzoeker zegt ontdekt te hebben ook daadwerkelijk bestaat. De malware wordt "badBIOS" genoemd en zou vele malen geavanceerder zijn dan andere malware die op dit moment bekend is.

De malware zou onder andere via Software Defined Radio (SDR) kunnen communiceren om zo toch met computers te communiceren die niet op het internet zijn aangesloten. Hiervoor zou badBIOS de geluidskaart van besmette computers gebruiken. Het ontstaan van badBIOS werd op 11 oktober van dit jaar door onderzoeker Dragos Ruiu via Twitter gerapporteerd. Ruiu zou er echter al jaren mee bezig zijn om te ontdekken hoe de malware werkt en steeds zijn systemen weet te infecteren.

Twijfels

Veel details heeft de onderzoeker niet gegeven, maar verschillende bestanden en logs heeft hij wel online gepubliceerd. Aan de hand van deze bestanden hebben verschillende andere beveiligingsonderzoekers hun twijfels. Zo analyseerde Tavis Ormandy, beveiligingsonderzoeker bij Google, de BIOS-dump van Ruiu en ontdekte geen bijzonderheden. Ook de logbestanden laten normaal verkeer zien. "Ik heb de indruk dat je me niet gaat geloven, maar denk er alsjeblieft over na om het even te laten rusten", schrijft Ormandy in een bericht op Google Plus.

Onderzoeker Arrigo Triulzi laat via Twitter weten dat hij ook niets verdachts heeft kunnen vinden. De meest uitgebreide analyse komt echter van Phillip Jaenke, die meer dan 20 jaar ervaring met de ontwikkeling van BIOS-software zegt te hebben. Hij stelt dat alles wat er over badBIOS is geschreven niet klopt. Zo kan BIOS-malware geen "air gaps" overbruggen om niet op het internet aangesloten computers te infecteren. Daarnaast is BIOS-code ook niet zo "mobiel" dat het verschillende moederborden kan infecteren.

Kat-en-muisspel

Zelf houdt Ruiu vol dat het hier wel degelijk om malware gaat waar hij al verschillende jaren mee aan het worstelen is. In een interview met Kaspersky Lab spreekt Ruiu van een heus "kat-en-muisspel" waarbij de aanvallers reageren op wat hij doet. Inmiddels is de onderzoeker zo bang voor een besmet systeem dat hij sommige computers alleen op batterijen laat lopen, om zo een infectie via het stroomnetwerk te voorkomen. Tijdens een beveiligingsconferentie in Tokio volgende week zal Ruiu naar alle waarschijnlijkheid meer details over de mysterieuze BIOS-malware geven.

Reacties (6)
06-11-2013, 16:57 door Whacko
Ik vond het ook al een vreemd verhaal. Infecteren via geluidskaart en microfoon? zeer onwaarschijnlijk. tenzij een systeem al geinfecteerd is, zou het nog gebruikt kunnen worden om tussen twee geinfecteerde systemen te communiceren. Maar zal heel erg foutgevoelig zijn.
06-11-2013, 19:08 door Anoniem
Zou best kunnen, communicatie via de microfoon/luidspreker. Is zelfs een boek over geschreven in het Nederlands: "Draadloze communicatietechnologie", ISBN 978-90-5381-2037, auteur Bart Hiddink (uitgeverij Elektuur). Men leze hoofdstuk 8! Nadeel is hierbij wel dat eea hoorbaar is. Doch een afstand van 12 meter is niet slecht.
07-11-2013, 03:11 door Anoniem
De features passen domweg gewoon niet in de kleine hoeveel nvram die beschikbaar wordt gesteld voor de opslag van de bios firmware.
07-11-2013, 09:52 door Anoniem
De grens tussen geniaal en gek is soms lastig te bepalen.

Ik bekijk dit soort dingen altijd vanuit hetzelfde perspectief, UFO's zouden kunnen bestaan, maar zolang er geen is geland in mijn achtertuin is het "eerst zien dan geloven."

Wat ik ook al eerder meldde, BIOS is te makkelijk te analyseren om zoiets verborgen te kunnen houden.
07-11-2013, 12:30 door Anoniem
Door Anoniem: De features passen domweg gewoon niet in de kleine hoeveel nvram die beschikbaar wordt gesteld voor de opslag van de bios firmware.
dit is een no brainer.
dit stukje is enkel storage van wat bios data.
als je ergens code wil bij voegen dan zal het zeker niét daar zijn hé.
11-11-2013, 11:44 door RickDeckardt
Die arme man leeft een groot deel van zijn leven in een psychose
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.