Echipa de cercetare a Kaspersky Lab a publicat un raport care confirmă – și demonstrează – că instalarea incorectă a software-ului anti-furt comercializat de...
kasperskyEchipa de cercetare a Kaspersky Lab a publicat un raport care confirmă – și demonstrează – că instalarea incorectă a software-ului anti-furt comercializat de Absolute Software poate transforma un program de altfel foarte folositor, într-un instrument util şi puternic pentru infractorii cibernetici.

Fără vreun semnal vizibil, instalarea defectuoasă oferă atacatorilor acces nelimitat la milioane de computere ale utilizatorilor. Punctul de interes al cercetării a fost agentul Absolute Computrace care se află în firmware-ul sau în BIOS-ul laptopurilor şi desktopurilor moderne.

Principalul motiv care a stat la baza demarării acestui proiect de cercetare a fost descoperirea faptului că agentul Computrace rula pe mai multe computere personale şi de serviciu ale cercetătorilor Kaspersky Lab, fără autorizare prealabilă. Deși Computrace este un software legitim, dezvoltat de Absolute Software, unii proprietari ai sistemelor au afirmat că nu instalaseră, nu activaseră şi nici nu ştiuseră despre existenţa acestuia pe dispozitivele lor. Cele mai multe pachete software tradiționale pre-instalate pot fi dezactivate sau şterse definitiv de către utilizator, însă Computrace este proiectat să rămână în sistem, chiar după curățarea profesională și chiar şi după înlocuirea hard disk-ului.

Un utilizator poate identifica în mod eronat Computrace ca program cu componentă malware, deoarece acesta folosește la fel de multe „trucuri” ca programele malware moderne: tehnici de inginerie anti-reverse şi anti-depanare, introducerea în memorie a altor procese, stabilirea de comunicări ascunse, aplicarea pachetelor de corecție fişierelor de sistem de pe disc, păstrarea criptării fişierelor de configurare și lansarea unui executabil pentru Windows direct din BIOS/firmware.

“Actorii puternici, cu capacitatea de a opera interceptări de pe fibra optică, au capacitatea de a deturna computerele care rulează Absolute Computrace”, a avertizat Vitaly Kamluk, Principal Security Researcher, Global Research and Analysis Team în cadrul Kaspersky Lab. „Acest software poate fi folosit pentru a implementa fişiere spyware. Estimarea noastră este că milioane de computere rulează software-ul Absolute Computrace și un număr mare de utilizatori ar putea să nu fie conștienți că acest software-ul este activat. Cine a avut un motiv pentru a activa Computrace pe toate computerele? Sunt acestea monitorizate de un actor necunoscut? Rămâne un mister care trebuie rezolvat,” a completat Vitaly Kamluk.

Statistici:

• Potrivit Kaspersky Security Network, există aproximativ 150.000 de utilizatori pe ale căror computere rulează agentul Computrace. Numărul total estimat de computere cu agentul Computrace activ poate depăși 2 milioane. Nu este clar câţi dintre utilizatori știu despre existenţa Computrace în sistemele lor.

• Cea mai mare parte a acestor computere sunt situate în Statele Unite și în Rusia.

Breşe de securitate

Protocolul de rețea utilizat de către Computrace Small Agent asigură funcții de bază pentru executarea de la distanță a codului. Protocolul nu necesită niciun tip de criptare sau autentificare a serverului de la distanță, fapt ce creează multe oportunități pentru atacuri de la distanță într-un mediu de rețea ostil.

O platformă de atac

Nu există nici o dovadă că Absolute Computrace este utilizat ca o platformă pentru atacuri. Cu toate acestea, experții din cadrul mai multor companii au identificat posibilitatea unor atacuri. Unele cazuri alarmante și inexplicabile de activări neautorizate ale Computrace fac acest scenariu din ce în ce mai plauzibil.

În 2009, cercetatorii de la Core Security Technologies au prezentat descoperirile lor cu privire la Absolute Computrace. Ei au lansat la momentul respectiv un avertisment cu privire la pericolele pe care le presupune această tehnologie și modul în care un atacator ar putea modifica registrele din sistem pentru a deturna callback-urile din Computrace. Comportamentul agresiv al Agentului Computrace a fost unul dintre motivele pentru care acesta a fost detectat ca malware în trecut. Potrivit unor observaţii, Computrace a fost detectat de Microsoft ca VirTool: Win32/BeeInject. Cu toate acestea, identificarea a fost ignorată ulterior de către Microsoft și de către unele companii anti-malware. Executabilele Computrace sunt în prezent pe lista de programe legitime (whitelisted) a celor mai multe companii anti-malware.

„Un astfel de instrument puternic cum este software-ul Absolute Computrace trebuie să utilizeze mecanisme de autentificare și criptare pentru a continua să fie benefic. Este clar că, dacă există o mulțime de computere cu agenți Computrace funcționali, este responsabilitatea producătorului (în acest caz, Absolute Software) de a notifica utilizatorii și de a explica modul în care software-ul poate fi dezactivat. În caz contrar, aceşti agenţi vor continua să ruleze neobservaţi și să ofere o posibilitate de exploatare de la distanță”, a explicat Kamluk.

Pentru a citi raportul complet, care cuprinde o descriere detaliată a operaţiunilor Absolute Computrace Agent, vizitaţi Securelist.

No comments so far.

Be first to leave comment below.

Your email address will not be published. Required fields are marked *