Postać w granatowym garniturze z kamerą zamiast głowy.

Urządzenia, które szpiegują

Ostatnio głośnym tematem stało się ewentualne wykorzystywanie przez producentów infrastruktury telekomunikacyjnej swoich produktów do nielegalnego zdobywania danych. Ofiarami szpiegowania miałyby być państwa, operatorzy, a finalnie też zwykli użytkownicy. Podobne zarzuty firmom z Chin stawiają amerykańskie władze. A my w CHIP-ie sprawdzamy, czy i jak w praktyce byłoby to do zrobienia oraz czy takie działania da się skutecznie zamaskować.

Trojan w urządzeniu

Na początek pytanie: czy możliwe jest szpiegowanie za pomocą sprzętu? Krótka odpowiedź brzmi – oczywiście. Dłuższa wymaga sprecyzowania, o czym dokładnie mówimy. Zwykle, gdy słyszymy o np. nowym trojanie w kontekście technologicznym, większość z nas wyobraża sobie po prostu kawałek złośliwego kodu. W istocie klasa programów popularnie określanych jako konie trojańskie to jeden z najpopularniejszych rodzajów złośliwego oprogramowania. Zadaniem takiej złośliwej aplikacji jest przemycenie ładunku (ang. payload), który odpowiada za przeprowadzenie właściwego ataku na komputer i dane ofiary.

Kod może zostać zainfekowany na wielu poziomach, także na bardzo podstawowym

Koń trojański to zwykle niewinnie wyglądający program, często realizujący zupełnie normalne i całkowicie nieszkodliwe funkcje. Może to być na przykład prosta gra czy nawet całkiem użyteczne narzędzie zawierające w sobie kod, który w pewnych sytuacjach może wyzwolić pożądane przez agresora działania. Mogą to być takie akcje jak np. instalacja backdoora w systemie ofiary (ułatwienie agresorom zdalnej kontroli nad urządzeniem), wykradanie poufnych danych i przesyłanie ich cyberprzestępcom czy różnego typu działania destruktywne (modyfikacja, niszczenie, szyfrowanie danych) i tak dalej.

Wspólną cechą trojanów jest to, że przedostają się do systemu ofiary za pośrednictwem, najczęściej, internetu (np. zainfekowana strona WWW lub mail), ale również mogą być dostarczone przez zupełnie nieświadomego użytkownika za pomocą wymiennych nośników danych. Niemniej, nie są one od razu wbudowane w urządzenie.

Zainfekowany zestaw startowy

Zdarzają się jednak sytuacje, kiedy nabywca nowego smartfonu już po pierwszym uruchomieniu sprzętu jest ofiarą ataku. O takich przypadkach informowaliśmy również w CHIP-ie. Dlaczego niektóre marki mają na starcie zainfekowane smartfony a inne nie? Android jest systemem otwartym i każdy z producentów ma pewną swobodę w zakresie doboru oprogramowania, z jakim jego produkt będzie sprzedawany.

Leagoo M5, jeden z kilkudziesięciu modeli smartfonów, w których w ubiegłym roku znaleziono malware (fot. Gearbest)

Oznacza to, że sam system operacyjny pozostaje „czysty”, jednak klient otrzymuje urządzenie z pakietem dodatkowych aplikacji, z których jedna może być ewentualnie nośnikiem złośliwego kodu. Czy z tego wynika, że dany producent z premedytacją próbuje szpiegować swoich klientów? To nieuprawnione przypuszczenie. Bardziej prawdopodobne, że na etapie przygotowania pakietu oprogramowania, ktoś popełnił błąd, przepuszczając zestaw aplikacji, w którym znajdował się również złośliwy kod. Tak było choćby w przypadku modeli Leagoo, gdzie cyberprzestępcom udało się niepostrzeżenie umieścić malware w obrazie systemu, jaki następnie był instalowany w smartfonach.

Reklama

Szpieg, który przetrwa formatowanie

Wielu użytkowników wierzy, że formatowanie dysku w komputerze pozwoli uporać się z każdym złośliwym oprogramowaniem. Cóż… już nie. W ten sposób dochodzimy do kolejnej kategorii wirusów, które mogą realizować szpiegowskie zadania. Mowa o malwarze wbudowanym w oprogramowanie wewnętrzne sprzętu, czyli firmware.

We wrześniu ubiegłego roku ESET opublikował interesujący dokument pt. „LOJAX – First UEFI rootkit found in the wild, courtesy of the Sednit group”, w którym opisano malware zdolny do zainfekowania UEFI, czyli elementarnego kodu ładowanego do pamięci komputera bezpośrednio po jego uruchomieniu, jeszcze przed załadowaniem choćby bitu kodu systemu operacyjnego. Oznacza to, że podobny malware nie rezyduje na żadnym nośniku (dysku twardym czy SSD), lecz bezpośrednio w układach pamięci UEFI wmontowanych w płytę główną.

Podejrzewam, że mało kto, kupując używaną płytę główną, obawiałby się, że może kupić zainfekowany sprzęt – tymczasem dzięki LOJAX jest to możliwe. Narzędziem przeciwdziałającym infekcji UEFI jest stałe korzystanie z Secure Boot, która to funkcja dba o integralność kodu, sprawdzając podpis cyfrowy UEFI. W razie infekcji należy przeflashować BIOS UEFI zainfekowanej płyty i zastąpić zmanipulowane oprogramowanie oryginalnym kodem UEFI danego producenta płyty głównej. Firma ESET w swojej bazie wiedzy opublikowała artykuł wyjaśniający, jak radzić sobie w takiej sytuacji.


Na drugiej podstronie omawiamy, jak niepożądany kod może zostać umieszczony jeszcze głębiej niż w firmwarze.

Close

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.