badBIOS: malware niczym z opowiadań science-fiction

Od kilkunastu dni na Twitterze i Google+ rumuński ekspert odbezpieczeństwa IT Dragos Ruiu opowiada historię, w którejprawdziwość trudno byłoby uwierzyć – gdyby nie jego osobistarenoma. Ruiu jest bowiem jednym z najbardziej szanowanych ludzi wbranży, organizatorem konkursu Pwn2Own i konferencji CanSecWest iPacSec, a jego doniesienia dyskutowane są przez specjalistów takichjak Jeff Moss, organizator Defconu i doradca amerykańskiegoDepartamentu Bezpieczeństwa Wewnętrznego. Poznajcie więc badBIOS,malware o jakim wcześniej świat nie słyszał.Trzy lata temu Ruiu, pracując w swoim laboratorium, zauważyłcoś dziwnego – jego Macbook Air ze świeżą kopią OS-a X, ni ztego ni z owego zaktualizował swoje firmware. Po aktualizacjilaptopa nie dało się już uruchomić z nośnika optycznego ani teżzapisać zmian w konfiguracji – wszystkie wprowadzane zmiany byłyodwracane na bieżąco. Co gorsze, żadne dostępne oprogramowanieantywirusowe niczego nie wykrywało.[img=malware]Kilka miesięcy później wydarzyło się coś jeszczedziwniejszego. Komputer działający pod kontrolą OpenBSD, systemuuważanego za jeden z najbezpieczniejszych i najlepiej zbadanych podkątem szczelności na świecie, nagle zaczął sam zmieniać swojeustawienia i kasować zawarte na nim dane bez żadnej interakcji zużytkownikiem. Jednocześnie w sieci lokalnej Ruiu zauważył ruchpo IPv6, nawet między komputerami, które miały IPv6 całkowiciewyłączone. Szybko udało się też ustalić, że to, jaki systemoperacyjny działa na maszynach, jest zupełnie bez znaczenia –oprócz OS-a X i różnych wersji BSD zarażane były maszyny zróżnymi wersjami Windows i Linuksa.Ostatecznie Ruiu, popadając w coraz większą paranoję, skasowałwszystko na wszystkich komputerach, instalując w swoim laboratoriumoprogramowanie od zera – ale i to nie pomogło. Niczym wszpitalach, w których napotkać można szczepy bakterii odpornych nawankomycynę i inne ekstremalne antybiotyki, tak i w jego miejscupracy zalęgło się coś, czego nie dało się usunąć w żadensposób. Po dniach czy tygodniach od wyczyszczenia komputeraobserwowane wcześniej objawy wracały, na czele z niemożnościąuruchomienia komputera z CD.Badacz zauważył też coś, co ocierało się o magię. Szalejącew jego laboratorium malware nie tylko nie potrzebowało połączeńsieciowych, by zarazić inne maszyny, ale też było w stanie sięsamo naprawiać. Infekcja odtwarzana była na maszynach całkowicieodłączonych od sieci, bez Ethernetu, Wi-Fi, Bluetootha czy nawetkabla sieciowego. Mieliśmy fizycznie odizolowany komputer,któremu dopiero co zflashowano BIOS-a, zamontowano nowy dysk twardyi zainstalowano Windows z oryginalnego nośnika (…) w pewnymmomencie podczas pracy na tej maszynie edytor rejestru zostałwyłączony. Pomyślałem wówczas, zaraz, jak to możliwe? Jakmaszyna może reagować i atakować oprogramowanie, które chcemyużyć by ją zaatakować? To fizycznie odizolowany komputer, a tunagle wyszukiwanie w edytorze rejestru przestało działać, gdyzaczęliśmy szukać kluczy –opowiadał rumuński badacz.Miesiące wytężonej pracypozwoliły ustalić jednak co nieco na temat zdumiewającegoszkodnika, któremu Ruiu nadał nazwę badBIOS. Podstawowym wektoreminfekcji mają być nośniki USB – po włożeniu napędu do portu,malware, wykorzystując błąd przepełnienia bufora podczas odczytunośnika USB, przeprogramowuje kontroler pamięci flash, byzmodyfikował BIOS, a następnie dodaje własną sekcję do BIOS-u.Jest to prawdopodobnie dopiero pierwszy moduł złożonego ładunku,modyfikowanego w zależności od typu systemu operacyjnego ofiary.Ładunku tego badBIOS szuka bądź to w sieci, bądź na samympendrive, dlatego też wyłącza możliwość uruchamiania systemu zpłyty CD – by czasem użytkownik nie uruchomił komputera zsystemem, dla którego szkodnik nie ma ładunku.Nie ma jednak pewności, czy toprzez nośnik USB zarażony został pierwszy Macbook Air wlaboratorium Ruiu, choć jak do tej pory badacz znalazł kilkanaściependrive'ow, które zarazić mogą każdy komputer, do któregozostaną podłączone. Więcej informacji uda się mu odkryć podczasnajbliższej konferencji PacSec, kiedy to otrzymać ma zaawansowanysprzęt do analizy USB.Co jednak z tymi zarażonymikomputerami, które komunikują się ze sobą bez kart sieciowych czynawet bez podłączenia do sieci elektrycznej? Eliminując kolejneinterfejsy badacz w końcu został z jednym – wbudowanymi wkomputer głośnikiem i mikrofonem. Twórcy szkodnika sięgnęli ponajbardziej klasyczny dla ludzi sposób komunikacji. Okazało się,że zarażone maszyny komunikowały się przez połączenieakustyczne, wykorzystując dźwięki wysokiej częstotliwości, pozazakresem słyszalności.Tajemnicą pozostaje, dlaczegoinfekcję odkrył u siebie tylko jeden badacz – czyżby ktoścelowo mu podrzucił malware, by uświadomić ludziom, z jakimizagrożeniami możemy mieć dziś do czynienia? Nam na raziepozostaje tylko śledzić informacje publikowane przez Dragosa. Podtagiem #badBIOS znajdziecie je na Google+oraz Twitterze.