HackingTeam heeft BIOS-rootkit voor permanente infectie
Het Italiaanse HackingTeam beschikt over een UEFI BIOS-rootkit om computers permanent met de spyware van het bedrijf te infecteren. Dat stelt het Japanse anti-virusbedrijf Trend Micro aan de hand van de data die recentelijk bij het Italiaanse bedrijf werd buitgemaakt.
HackingTeam biedt overheidsinstanties een "Remote Control System" (RCS) waarmee opsporingsdiensten op afstand toegang tot de computers van bijvoorbeeld verdachten kunnen krijgen. Om ervoor te zorgen dat de software ook op computers blijft staan, zelfs als de harde schijf wordt geformatteerd of door een nieuw exemplaar wordt vervangen, heeft HackingTeam een UEFI BIOS-rootkit ontwikkeld.
Het BIOS (Basic Input/Output System), alsmede de Unified Extensible Firmware Interface (UEFI) dat de opvolger van het BIOS is, is een verzameling basisinstructies voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. In het geval van HackingTeam gaat het om een rootkit voor het UEFI BIOS van Insyde Software. Het bedrijf maakt BIOS-software voor laptops.
Fysieke toegang
Om de rootkit te installeren moet er wel fysieke toegang tot het systeem worden verkregen. Volgens analist Philippe Lin van Trend Micro kan echter niet worden uitgesloten dat het ook mogelijk is om de rootkit op afstand te installeren. Het Italiaanse bedrijf ontwikkelde ook een hulptool voor gebruikers van de rootkit en biedt ondersteuning in het geval de BIOS-image niet compatibel is. Volgens Lin kan de rootkit worden aangepast zodat die ook met andere BIOS-software werkt, zoals die van de bekende softwareleverancier AMI.
Om zich tegen de aanvallen te beschermen krijgen gebruikers van Lin het advies om UEFI SecureFlash in het BIOS in te schakelen, het BIOS te updaten als er updates beschikbaar zijn en een wachtwoord in te stellen om toegang tot het BIOS of de UEFI te krijgen. Het is bij veel computers echter mogelijk om het wachtwoord te resetten, maar in dit geval zou een gebruiker kunnen zien dat er iets mis is omdat hij geen wachtwoord meer hoeft op te geven of zijn oorspronkelijke wachtwoord niet meer werkt.
Enige dagen terug vond ik een mail van HackingTeam op Wikileaks die stelde dat zij tijdens een huiszoeking aanwezig zouden zijn - bij een niet nader genoemd adres - om daar het computersysteem fysiek te benaderen. Dit zou betekenen dat tijdens een huiszoeking malware, danwel deze Bios/UEFI Rootkit zou zijn geinstalleerd. Het stond er weliswaar niet bij, maar nu gaat mij toch een licht branden.
Enige dagen terug vond ik een mail van HackingTeam op Wikileaks die stelde dat zij tijdens een huiszoeking aanwezig zouden zijn - bij een niet nader genoemd adres - om daar het computersysteem fysiek te benaderen. Dit zou betekenen dat tijdens een huiszoeking malware, danwel deze Bios/UEFI Rootkit zou zijn geinstalleerd. Het stond er weliswaar niet bij, maar nu gaat mij toch een licht branden.
Jaren geleden gebruikte ik weleens een tooltje, genaamd CMOS Viewer, waarmee je de BIOS kon flashen.
Zou zo'n BIOS-flash de rootkit niet gewoon kunnen overschrijven?
Ik weet niet hoe dat precies met UEFI zit. Maar het lijkt me toch dat als er een rootkit naartoe geschreven kan worden, je die ook weer kunt overschrijven?
Het alternatief is alles van iedere onschuldige burger afluisteren, profileren en gebruik van encryptie verbieden.
Ik ben niet tegen dit middel, ik ben tegen een ongecontroleerde opsporingsdienst.
Met absolute macht komt ...
En wanneer je dit bedrijf wilt aanpakken, waarom dan niet alle andere organisaties (incl. de overheid) die zich met spionage bezig houden? Dit is toch niks nieuws onder zon, of wel dan...
https://wikileaks.org/hackingteam/emails/emailid/802015
vertaling:
De PG heeft geen beknopte informatie over het apparaat dat kan een notebook windows (95%) of osx. (5%) (zijn)
We hebben al de offline-installatie voorbereid (zowel USB en CD / DVD) op (beide) gevallen te dekken.
Echter, er is (een) licentie (nodig) voor OSX platform.
Als die opsporingsdiensten zorgvuldig zijn (ijdele hoop....) zouden ze dat er ook weer af moeten halen als blijkt dat de verdachte toch onschuldig is.
/edit 17:18: of als de laptop inbeslag is genomen, verbeurd verklaard en later via veiling wordt verkocht.
Ergens las ik dat Hacking Team aangeeft in haar promotie dat met gebruik van hun software desnoods vele duizende computers tegelijk besmet kunnen worden.
Wanneer dat ook met rootkits kan, dan zal het op termijn ook gaan gebeuren.
Dat betekent dat er heel veel hardware besmet zal raken met op termijn ook niet meer verwijderbare rootkits.
In ieder geval zal de hardware met Biosrootkits gaan zwerven omdat de besmette harware vroeg of laat afgedankt gaat worden.
Dat betekent heel concreet dat de tweedehands markt voor hardware daarmee volledig gaat instorten.
Je kan er immers niet meer van op aan of je nog veilige hardware koopt en de ouderwetse oplossing van harddisk vervangen en een nieuw os installeren helpt niet meer.
Hacking team en surveilance diensten zetten een versnelde spiraal in gang en maken heel veel kapot: namelijk essentieel vertrouwen in het maatschappelijk en economisch verkeer.
De werkwijze is het gevolg van een definitief moreel bankroet en is daarnaast een feitelijke oorlogsverklaring aan de maatschappij.
De vraag is waar de maatschappij zelf de definitieve rode lijn van het ontoelaatbare trekt.
Een indringend maatschappelijk signaal is afgelopen week gegeven.
UEFI = Unified Extensible Firmware Interface
Ergens las ik dat Hacking Team aangeeft in haar promotie dat met gebruik van hun software desnoods vele duizende computers tegelijk besmet kunnen worden.
Wanneer dat ook met rootkits kan, dan zal het op termijn ook gaan gebeuren.
Dat betekent dat er heel veel hardware besmet zal raken met op termijn ook niet meer verwijderbare rootkits.
In ieder geval zal de hardware met Biosrootkits gaan zwerven omdat de besmette harware vroeg of laat afgedankt gaat worden.
Dat betekent heel concreet dat de tweedehands markt voor hardware daarmee volledig gaat instorten.
Je kan er immers niet meer van op aan of je nog veilige hardware koopt en de ouderwetse oplossing van harddisk vervangen en een nieuw os installeren helpt niet meer.
Hacking team en surveilance diensten zetten een versnelde spiraal in gang en maken heel veel kapot: namelijk essentieel vertrouwen in het maatschappelijk en economisch verkeer.
De werkwijze is het gevolg van een definitief moreel bankroet en is daarnaast een feitelijke oorlogsverklaring aan de maatschappij.
De vraag is waar de maatschappij zelf de definitieve rode lijn van het ontoelaatbare trekt.
Een indringend maatschappelijk signaal is afgelopen week gegeven.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.