Onderzoekers hebben bij twee organisaties UEFI-images ontdekt die met malware besmet bleken te zijn en een backdoor aan het systeem toevoegden. Doordat de malware in de UEFI-firmware verborgen zat kon de backdoor een herinstallatie van het systeem overleven, zo meldt antivirusbedrijf Kaspersky.
De virusbestrijder ontdekte de malware bij twee niet nader genoemde organisaties. De malware was gebaseerd op een gelekte UEFI-bootkit van het Italiaanse bedrijf Hacking Team. De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben.
Volgens de onderzoekers was deze malware tot nu toe nooit in het wild waargenomen. Hoe de systemen met de UEFI-bootkit besmet raakten is onbekend. Eén mogelijke optie is dat de aanvallers fysieke toegang tot de systemen van de twee organisaties hadden. In een uitleg van Hacking Team over de UEFI-bootkit wordt een infectiemethode beschreven die gebruikmaakt van een usb-stick.
Het systeem moet vanaf een usb-stick worden gestart, die vervolgens de malafide firmware via een speciale updatetool installeert. Eenmaal actief zorgde de malware in de UEFI-firmware ervoor dat het bestand IntelUpdate.exe in de Startup-map van het systeem wordt geplaatst. Het gaat hier om een backdoor die automatisch bij het starten van Windows wordt geladen. Wanneer de gebruiker of een virusscanner dit bestand verwijdert zorgt de UEFI-malware voor een nieuwe installatie van het bestand.
De groep die voor de aanvallen verantwoordelijk wordt gehouden zou van 2017 tot en met 2019 "diplomatieke entiteiten" en NGO's in Afrika, Azië en Europa hebben aangevallen. Bij twee van deze organisaties werd de UEFI-bootkit geïnstalleerd. De organisaties zouden allemaal een link met Noord-Korea hebben, zo stellen de onderzoekers. Daarnaast bleek dat de aanvallers Noord Korea gerelateerde informatie van de besmette systemen stalen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Certified Secure LIVE Online
Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!
Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!
Neem contact met ons op voor de mogelijkheden voor jouw team.
Juridische vraag: Als mijn werkgever van mij verlangt om aan te geven of ik Corona heb, dan wel mij heb laten testen of mij ...
Leuke vergelijking tussen verschillende chat apps. Wel hoog WC-eend gehalte, maar ik wist niet dat Signal niet aan de AVG ...
Het risico van een supply-chain-aanval, waarbij aanvallers via software of systemen van een derde partij bij organisaties weten ...
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.