UEFI-буткит ESPecter бэкдорит Windows с 2012 года

Татьяна Никитина 06 Октября 2021 - 08:49

...

Исследователи из ESET обнаружили новый, никем не описанный буткит для UEFI, который устанавливается в систему посредством компрометации диспетчера загрузки Windows. Как оказалось, зловред, получивший кодовое имя ESPecter, был создан как минимум в 2012 году и вначале был ориентирован на системы с BIOS.

Буткит позволяет установить контроль над процессом загрузки ОС и обеспечивает хакеру очень стойкое присутствие в системе. Тем не менее, злоумышленники редко применяют такие инструменты: их создание требует хорошей технической подготовки. До находки ESET специалистам по ИБ были известны только четыре случая использования буткита в атаках: Lojax, MosaicRegressor, безымянные модули TrickBot и FinSpy.

Вредонос ESPecter, по словам экспертов, был обнаружен на взломанной машине вместе с клиентским компонентом, обладающим функциями кейлоггера и инфостилера. По всей видимости, атака была проведена с целью шпионажа.

Исследование показало, что новый буткит может устанавливаться в систему двумя способами: посредством подмены главной загрузочной записи на диске (в Legacy-режиме) или через патчинг диспетчера загрузки Windows (bootmgfw.efi).

Версия ESPecter, внедряемая в системный раздел EFI, готовит рабочую среду для целевого зловреда, загружая собственный драйвер режима ядра, способный обойти обязательную проверку цифровой подписи. Этот драйвер, в свою очередь, загружает два компонента режима пользователя — WinSys.dll и Client.dll.

Первый отвечает за сбор информации о зараженной системе и обновление данных конфигурации. Второй работает как бэкдор; он умеет по команде фиксировать клавиатурный ввод, воровать документы, делать снимки экрана, а также автоматически выводить собранную информацию на свой сервер.

Модификация bootmgfw.efi, по свидетельству ESET, возможна только при отключенном режиме безопасной загрузки. Чтобы деактивировать Secure Boot, злоумышленник должен иметь физический доступ к компьютеру либо использовать какую-то уязвимость в прошивке UEFI.

Каким именно образом был внедрен найденный ESPecter, установить не удалось. Во избежание подобных атак эксперты советуют по возможности придерживаться следующих правил:

использовать только новейшую версию прошивки;
следить за настройками системы;
ужесточить контроль доступа к привилегированным аккаунтам;
не отключать режим Secure Boot.

Следующая главная новость »

Контейнеризация 2026: чем российские решения отличаются на практике? Регистрируйтесь на эфир!

Яков Шпунт 18 Февраля 2026 - 19:55

Linux Соответствие законодательству РФ Общее Системы контентной веб-фильтрации

Замедление Telegram ударило по разработчикам российских ОС

В России оказался недоступен сервис git.kernel.org, через который разработчики получают обновления исходного кода ядра Linux. Крупные участники сообщества подтвердили проблему и связали её с действиями Роскомнадзора. Сам регулятор свою причастность отрицает.

Первые сообщения о сбоях в доступе к kernel.org появились 12 февраля. Пользователи отмечали, что зайти на ресурс без использования средств подмены адреса невозможно — ни по протоколу git, ни по HTTP. Аналогичные трудности возникли и с рядом других сайтов, в том числе с онлайн-курсами по Python и ресурсами разработчиков некоторых системных библиотек.

Портал Digital Report сообщил, что сбои могли быть связаны с мерами Роскомнадзора по замедлению Telegram. По версии издания, при попытке точечно ограничить трафик мессенджера и популярных VPN-протоколов (WireGuard, OpenVPN) применялась тактика «ковровых» блокировок по диапазонам IP-адресов. В результате под ограничения могли попасть CDN-сети, на которых размещаются зеркала Linux Kernel Archives.

Как отмечает Digital Report, ещё 12 февраля разработчики обратились в профильные группы Минцифры с просьбой разобраться в ситуации. По их словам, официальной реакции долгое время не последовало, а обсуждения сопровождались смесью тревоги и иронии.

Лишь сегодня Роскомнадзор в ответ на запрос издания «Подъём» сообщил: «Решения уполномоченных органов в отношении сервисов Linux не поступали, меры ограничения к ним не применяются».

После публикации комментария доступ к сервису начал постепенно восстанавливаться. Об этом, в частности, рассказал Алексей Смирнов в комментарии для Forbes.

Накануне похожие проблемы возникли у пользователей Windows: обновления системы либо не загружались, либо устанавливались с заметными задержками. Тогда Роскомнадзор также отрицал свою причастность.