UEFI-буткит ESPecter бэкдорит Windows с 2012 года

Татьяна Никитина 06 Октября 2021 - 08:49

...

Исследователи из ESET обнаружили новый, никем не описанный буткит для UEFI, который устанавливается в систему посредством компрометации диспетчера загрузки Windows. Как оказалось, зловред, получивший кодовое имя ESPecter, был создан как минимум в 2012 году и вначале был ориентирован на системы с BIOS.

Буткит позволяет установить контроль над процессом загрузки ОС и обеспечивает хакеру очень стойкое присутствие в системе. Тем не менее, злоумышленники редко применяют такие инструменты: их создание требует хорошей технической подготовки. До находки ESET специалистам по ИБ были известны только четыре случая использования буткита в атаках: Lojax, MosaicRegressor, безымянные модули TrickBot и FinSpy.

Вредонос ESPecter, по словам экспертов, был обнаружен на взломанной машине вместе с клиентским компонентом, обладающим функциями кейлоггера и инфостилера. По всей видимости, атака была проведена с целью шпионажа.

Исследование показало, что новый буткит может устанавливаться в систему двумя способами: посредством подмены главной загрузочной записи на диске (в Legacy-режиме) или через патчинг диспетчера загрузки Windows (bootmgfw.efi).

Версия ESPecter, внедряемая в системный раздел EFI, готовит рабочую среду для целевого зловреда, загружая собственный драйвер режима ядра, способный обойти обязательную проверку цифровой подписи. Этот драйвер, в свою очередь, загружает два компонента режима пользователя — WinSys.dll и Client.dll.

Первый отвечает за сбор информации о зараженной системе и обновление данных конфигурации. Второй работает как бэкдор; он умеет по команде фиксировать клавиатурный ввод, воровать документы, делать снимки экрана, а также автоматически выводить собранную информацию на свой сервер.

Модификация bootmgfw.efi, по свидетельству ESET, возможна только при отключенном режиме безопасной загрузки. Чтобы деактивировать Secure Boot, злоумышленник должен иметь физический доступ к компьютеру либо использовать какую-то уязвимость в прошивке UEFI.

Каким именно образом был внедрен найденный ESPecter, установить не удалось. Во избежание подобных атак эксперты советуют по возможности придерживаться следующих правил:

использовать только новейшую версию прошивки;
следить за настройками системы;
ужесточить контроль доступа к привилегированным аккаунтам;
не отключать режим Secure Boot.

Следующая главная новость »

Атаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!

Екатерина Быстрова 20 Апреля 2026 - 10:54

Соответствие законодательству РФ Общее Соответствие требованиям регуляторов

Регистрацию смартфонов по IMEI в России хотят сделать платной

Идея с обязательной регистрацией гаджетов по IMEI в России может получить ещё одно продолжение, на этот раз платное. Крупные операторы связи предложили Минцифры брать деньги за внесение устройств в единую базу IMEI и направлять эти средства в специальный отраслевой фонд.

По данным СМИ, логика простая: если смартфон, планшет или другое устройство не зарегистрировано в базе, в перспективе оно просто не сможет нормально работать в сети оператора.

Но у такой схемы есть и вполне очевидное последствие: профильные эксперты уже предупреждают, что новый платёж, скорее всего, в итоге заложат в стоимость техники. А значит, платить будет не рынок, а обычный покупатель.

Минцифры ещё в конце 2025 года заявляло, что планирует создать такую базу в 2026 году, а в феврале 2026-го Госдума приняла в первом чтении законопроект № 1110676-8, где фигурирует единый реестр IMEI мобильных устройств.

Если механизм примут в нынешней логике, требование о привязке IMEI к абонентскому номеру может заработать уже с 2027 года, а с 2028-го в сетях операторов должны будут работать только зарегистрированные устройства. Для незарегистрированных гаджетов это будет означать, что сим-карта в них работать не будет.

Сторонники инициативы говорят, что в этом есть практический смысл. Во-первых, можно сократить объём нелегального ввоза техники. Во-вторых, у операторов и государства появится более прозрачная система учёта устройств. В Минцифры также подчёркивали, что база IMEI, по замыслу ведомства, должна помочь точнее идентифицировать оборудование и использоваться в рамках антифрод-мер.

Но критики смотрят на идею прохладнее. По их оценке, экономическая целесообразность отдельного сбора пока неочевидна: для оператора это, по сути, ещё одно поле в системе учёта, а не дорогостоящая новая услуга. Поэтому у части рынка есть ощущение, что речь идёт не столько о технической необходимости, сколько о новом скрытом платеже, который в итоге ляжет на потребителя. Это особенно чувствительно на фоне и без того дорогой электроники.

При этом сама модель не уникальна. Похожие базы IMEI уже работают в ряде стран, а регистрация устройства там нередко становится обязательным условием для работы в сети. Именно на этот международный опыт сторонники инициативы и ссылаются, когда говорят, что мера поможет «обелить» рынок.

Есть, правда, и ещё один важный нюанс. Чем больше значение такой базы для работы связи, тем выше цена возможного сбоя. Эксперты уже предупреждали: если единый реестр IMEI окажется недоступен, это может превратиться в единую точку отказа и ударить по работе мобильной связи.

Атаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!