UEFI-буткит ESPecter бэкдорит Windows с 2012 года

Татьяна Никитина 06 Октября 2021 - 08:49

...

Исследователи из ESET обнаружили новый, никем не описанный буткит для UEFI, который устанавливается в систему посредством компрометации диспетчера загрузки Windows. Как оказалось, зловред, получивший кодовое имя ESPecter, был создан как минимум в 2012 году и вначале был ориентирован на системы с BIOS.

Буткит позволяет установить контроль над процессом загрузки ОС и обеспечивает хакеру очень стойкое присутствие в системе. Тем не менее, злоумышленники редко применяют такие инструменты: их создание требует хорошей технической подготовки. До находки ESET специалистам по ИБ были известны только четыре случая использования буткита в атаках: Lojax, MosaicRegressor, безымянные модули TrickBot и FinSpy.

Вредонос ESPecter, по словам экспертов, был обнаружен на взломанной машине вместе с клиентским компонентом, обладающим функциями кейлоггера и инфостилера. По всей видимости, атака была проведена с целью шпионажа.

Исследование показало, что новый буткит может устанавливаться в систему двумя способами: посредством подмены главной загрузочной записи на диске (в Legacy-режиме) или через патчинг диспетчера загрузки Windows (bootmgfw.efi).

Версия ESPecter, внедряемая в системный раздел EFI, готовит рабочую среду для целевого зловреда, загружая собственный драйвер режима ядра, способный обойти обязательную проверку цифровой подписи. Этот драйвер, в свою очередь, загружает два компонента режима пользователя — WinSys.dll и Client.dll.

Первый отвечает за сбор информации о зараженной системе и обновление данных конфигурации. Второй работает как бэкдор; он умеет по команде фиксировать клавиатурный ввод, воровать документы, делать снимки экрана, а также автоматически выводить собранную информацию на свой сервер.

Модификация bootmgfw.efi, по свидетельству ESET, возможна только при отключенном режиме безопасной загрузки. Чтобы деактивировать Secure Boot, злоумышленник должен иметь физический доступ к компьютеру либо использовать какую-то уязвимость в прошивке UEFI.

Каким именно образом был внедрен найденный ESPecter, установить не удалось. Во избежание подобных атак эксперты советуют по возможности придерживаться следующих правил:

использовать только новейшую версию прошивки;
следить за настройками системы;
ужесточить контроль доступа к привилегированным аккаунтам;
не отключать режим Secure Boot.

Следующая главная новость »

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Яков Шпунт 22 Января 2026 - 10:37

macOS iOS GenAI (генеративный искусственный интеллект) Домашние пользователи Корпорации Apple

Вместо Siri: Apple встроит в iOS и macOS полноценный чат-бот на Gemini

В следующем «крупном» релизе своих операционных систем — как настольных, так и мобильных — Apple планирует заменить голосового помощника Siri на чат-бота Campos, основанного на модели Gemini и доработанного под экосистему компании. За использование платформы Google, по данным источников, получила от Apple более 1 млрд долларов.

О планах компании сообщил журналист Bloomberg Марк Гурман. По его информации, которая традиционно опирается на инсайды внутри Apple, Siri могут заменить на полноценного ИИ-чат-бота уже к концу текущего года.

Такое решение, как отмечает Гурман, стало ответом на продолжающуюся ИИ-гонку, в которой Apple в последние годы заметно отстала от ключевых игроков рынка.

Новый бот получит стандартный набор возможностей современных ИИ-ассистентов: веб-поиск, генерацию изображений, помощь при написании кода и анализ загруженных файлов. При этом он будет глубоко интегрирован в систему — сможет анализировать содержимое открытых окон, а также использовать пользовательские данные, хранящиеся локально на устройстве и в облаке.

Вызывать чат-бота можно будет не только голосом, как это происходит с Siri, но и с помощью боковой кнопки. Кроме того, пользователи смогут «общаться» с ним в текстовом формате — возможность, отсутствие которой долгое время оставалось одним из главных поводов для критики Siri.

По данным источников Марка Гурмана, анонс нового чат-бота запланирован на июнь, а его официальный запуск ожидается в сентябре.

При этом сама Siri продолжает развиваться. Так, в iOS 26 у неё появились функции автоответчика, включая обработку вызовов с незнакомых номеров. По информации Bloomberg, в апреле Siri также получит ещё одно крупное обновление с расширенным набором возможностей.

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »