欧州各国政府を偵察するためにクレムリンのスパイが盗難対策ソフトウェア プログラムから作成したとみられる UEFI ルートキットが、研究者らによって公開解析された。
ルートキットとは、コンピュータシステムに潜伏し、ルート権限または管理者権限を利用してドキュメントの盗難や改ざん、ユーザーへのスパイ活動、その他様々な悪質な行為やトラブルを引き起こすソフトウェアです。UEFIルートキットはマザーボードのファームウェアに潜伏するため、オペレーティングシステムやウイルス対策ソフトが起動する前に起動し、感染したマシンの奥深くに潜伏し、検知されることなく、高いレベルのアクセス権限で侵入することができます。
情報セキュリティ企業ESETによると、「LoJax」と呼ばれるファームウェアルートキットが、バルカン半島諸国および中央・東ヨーロッパの政府機関が使用するWindows PCを標的としていた。このソフトウェアルートキットの背後にいる主な容疑者は、悪名高いFancy Bear(別名Sednit、別名Sofacy、別名APT28)ハッカー集団であり、ロシア軍情報部の一団とされている。
これは、米国民主党のサーバーやフランスのテレビネットワーク TV5 などをハッキングしたと言われているファンシー ベアと同じものです。
このマルウェアは、Absolute Software社製の正規アプリケーション「LoJack for Laptops」の旧バージョンをベースにしています。LoJack for Laptopsは通常、盗難されたノートパソコンの発見を目的としてメーカーによってノートパソコンにインストールされます。このコードはUEFIファームウェアに潜伏し、インターネット経由でバックエンドサーバーに接続します。そのため、コンピューターが盗まれた場合、その現在位置を本当の所有者に密かに知らせてしまうことになります。
すごい、ファンシーベア:LoJackノートパソコン盗難防止ツールがクレムリンに電話をかけているところを捕まった
続きを読む
5月にお伝えしたように、Netscout傘下のArbor Networksのエキスパートたちは、Fancy BearのエージェントがLoJackを再利用してLoJaxを開発しているのを発見しました。そして今回、ESETはこのスパイウェアの内部動作を詳細に文書化し[PDF]、自社ネットワークからLoJackを検出・駆除するためのシグネチャをリストアップしました。
基本的に、悪意のある攻撃者はマシンを侵害し、管理者権限を取得し、マザーボードのファームウェアを変更して悪意のある UEFI モジュールを組み込もうとします。この変更が成功すると、コンピューターが通常どおり起動するたびに LoJax がインストールされ、実行されます。
したがって、この悪意のあるコードは、OS やウイルス対策ツールが起動する前に動作します。ハードドライブを交換したり、オペレーティングシステムを再インストールしたりしても意味がありません。マルウェアはシステムの内蔵 SPI フラッシュに保存され、新しいディスクまたは消去されたディスクに再インストールされます。
LoJaxは起動すると、通常のウェブサイトに偽装され、ロシアの情報機関によって運営されているとされるコマンド&コントロールサーバーに接続し、実行命令をダウンロードします。
木曜日、ESET チームは次のように書きました。
調査中に、LoJaxのサンプルは少数ながら見つかりました。テレメトリデータと、実際に確認された他のSednitツールに基づき、このモジュールは他のマルウェアコンポーネントに比べてほとんど使用されていないと確信しています。標的は主にバルカン半島、中央ヨーロッパ、東ヨーロッパの政府機関でした。
調査の結果、この悪意のある攻撃者は、システムのSPIフラッシュメモリに悪意のあるUEFIモジュールを書き込むことに少なくとも1回成功していたことが判明しました。このモジュールは、起動プロセス中にディスク上にマルウェアをドロップして実行することができます。
この永続化手法は、OSの再インストールだけでなくハードディスクの交換にも耐えられるため、特に侵入性が高いです。さらに、システムのUEFIファームウェアをクリーニングするには、ファームウェアの再フラッシュが必要になりますが、これは一般的には行われず、ましてや一般ユーザーが行うことはまずありません。
Hacking Teamのスパイウェアルートキット:新しいハードドライブでも削除できない
続きを読む
LoJack(別名Computrace)は、ファームウェアレベルの隠れたスパイウェアを設計するための非常に優れたテンプレートだったことが判明しました。「LoJaxの調査中に、これらの脅威アクターがComputraceの永続化手法を模倣しようとした可能性があると示唆する興味深いアーティファクトをいくつか発見しました」とESETは述べています。
LoJaxはカーネルドライバーRwDrv.sysを使用してUEFIフラッシュファームウェアとその設定を書き換え、自身を保存します。これにより、PCの起動時にLoJax自身をディスクにコピーして実行します。このカーネルドライバーは、RWEverythingという正規のユーティリティから盗用されたものです。
ESETによると、セキュアブートを有効にすると、LoJaxがファームウェアストレージに自身を注入するのを阻止できるとのことです。LoJaxのコードには有効なデジタル署名がないため、起動時に拒否されるはずです。ただし、これには十分に強力なセキュアブート構成が必要です。つまり、UEFIストレージへの読み書きアクセスを持つ管理者レベルのマルウェアを阻止できる必要があります。
書き込み操作をブロックするだけでフラッシュメモリへのインストールを阻止できるファームウェア設定があります。BIOSの書き込み許可がオフ、BIOSのロック許可がオン、そしてSMM BIOSの書き込み保護が有効になっている場合、マルウェアはマザーボードのフラッシュストレージに自身を書き込むことができません。
あるいは、ディスクとファームウェア ストレージを消去すると、この特定のルートキット ストレインが除去されます。
現代のシステムは悪意のあるファームウェアの上書きに耐えられるはずだと言われているが、ESET は PC の SPI フラッシュで少なくとも 1 件の LoJax のケースを発見したと述べている。
「システムのUEFIイメージを変更するのは困難ですが、システムのUEFIモジュールをスキャンして悪意のあるモジュールを検出するソリューションはほとんどありません」とESETチームは述べています。「さらに、システムのUEFIファームウェアをクリーンアップするには、ファームウェアを再度フラッシュする必要がありますが、これは一般的には行われず、一般ユーザーが行うことはまずありません。こうした利点こそが、執念深く機知に富んだ攻撃者がシステムのUEFIを標的にし続ける理由です。」
ファームウェアにマルウェアを注入するための手順は多少複雑ですが、最終結果は非常に単純です。つまり、侵害されたシステムの起動時にコンパニオンマルウェアが確実にロードされるようにする常駐ソフトウェア悪意のあるものを作成するのです。
ESETは、9月27日(木)に開催された2018 Microsoft BlueHatカンファレンスにおいて、発見したUEFIルートキットに関する調査結果を発表しました。詳細については、上記リンク先のPDFをご覧ください。®
