Для внедрения Bootkitty в Linux уже создан UEFI-эксплойт

Для внедрения Bootkitty в Linux уже создан UEFI-эксплойт

Для внедрения Bootkitty в Linux уже создан UEFI-эксплойт

В Сети обнаружен сервер с образцом Bootkitty и эксплойтом для беспрепятственного развертывания этого Linux-буткита. Источник вредоносных файлов уже заблокирован, однако эксперты Binarly успели скачать содержимое для анализа.

Как оказалось, найденный эксплойт нацелен на одну из уязвимостей LogoFAIL, позволяющих внедрить в систему буткит в обход стандартной защиты — аппаратного механизма безопасной загрузки, предотвращающего запуск файлов без доверенной цифровой подписи.

Подвергнутый анализу файл logofail.bmp весом 16 Мбайт содержит шелл-код, который через эксплойт устанавливает в систему самозаверенный сертификат, используемый для подписи Bootkitty.

 

Взятая на вооружение уязвимость была определена как CVE-2023-40238 в модуле BmpDecoderDxe прошивок UEFI, поставляемых Insyde Software. Проблема актуальна для некоторых устройств Acer, HP, Fujitsu, Lenovo, работающих под управлением Linux.

Патч доступен с конца прошлого года и на поверку оказался крепким, однако у исследователей нет уверенности, что все пользователи обновили прошивки.

В результате эксплойта изменяется также логотип, отображаемый на экране в ходе загрузки системы. На устройствах Lenovo он становится таким: 

«Все это, на мой взгляд, выглядит как демоверсия для показа потенциальным покупателям, — отметил основатель и CEO Binarly Алекс Матросов, комментируя находку для Ars Technica. — Свидетельств иного назначения, кроме образца, найденного ESET на VirusTotal, нет, однако эксплойт LogoFAIL выглядит добротно».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Novabev подтвердила факт атаки и вымогательства

Алкогольный холдинг Novabev подтвердил факт масштабной кибератаки, в результате которой пострадала часть ИТ-инфраструктуры группы. По заявлению компании, инцидент сопровождался шантажом: злоумышленники потребовали выкуп за восстановление работы систем. Novabev отказалась выполнять эти требования.

Как сообщили в компании, атака произошла еще 14 июля. Сильнее всего она сказалась на работе сети алкомаркетов «ВинЛаб». Полностью прекратилась работа сайта, а также физических магазинов компании.

Также 15 июля резко (на 5,5% в моменте) упал курс акций компании. Однако к концу дня темпы падения, как сообщил «Финам», составили около 1%. На следующий день 16 июля падение составило 0,35%.

Также, как сообщили «Ведомости» со ссылкой на представителей двух розничных сетей, 14 июля прекратились отгрузки основной продукции Novabev, в том числе водки «Белуга» и «Беленькая». Также приостановлены все платежные операции компании.

«14 июля группа подверглась беспрецедентной кибератаке — масштабной и скоординированной акции, осуществленной хакерами. В результате инцидента была временно нарушена работоспособность части ИT-инфраструктуры, что отразилось на доступности некоторых сервисов и инструментов группы и сети «ВинЛаб». Злоумышленники вышли на связь и выдвинули требование о выплате денежного вознаграждения. Компания придерживается принципиальной позиции неприятия любых форм взаимодействия с киберпреступниками и категорически отказывается от выполнения их требований», - говорится в официальном сообщении Novabev, которое вышло вечером 16 июля.

Характер и масштаб инцидента компания не раскрыла. По неофициальным данным, произошло заражение инфраструктуры шифровальщиком.

Между тем, как сообщили в Novabev, утечки персональных данных в ходе инцидента не произошло. Компания работает над восстановлением ИТ-инфраструктуры. Ущерб от инцидента, по оценке «Ведомостей», по состоянию на конец рабочего дня 16 июля составил 1,5 млрд рублей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru