Malware jest osadzony w UEFI płyty głównej, podczas startu windowsa, podrzuca lewego .exe. Dalej ten .exe już z poziomu windowsa pobiera różne dobrodziejstwa z sieci.
Zainfekowanych jest 406 modeli płyt głównych.
Pełna lista modeli: https://eclypsium.com/wp-content/uploads/Gigabyte-Affected-Models.pdf
Gigabyte wydał już nowe firmware'y.
źródło:
https://eclypsium.com/blog/supply-chain-risk-from-gigabyte-app-center-backdoor/
#cyberbezpieczenstwo #cybersecurity
@Marchew ktoś się ładnie bawi. Czyżby Puchatki?
A ilu jeszcze nie znaleźli bo nie potrafią, a ilu nie znajdą bo nie wolno.
Dzieki za info wlasnie ziomikowi skladalem kompa na jednej z tych plyt ...
@kitler69 Trochę balem się takiego odbioru. Nie ma przeciwskazań do kupna ich produktów. ASUS też miał takie "problemy". Wielu pewnie ma a nikt nie widzi. Przecież to nie babol który wykradnie ci pieniądze z banku czy przejmie konto na fejsie. To raczej znacznie większe zagrywki które zwykłego człowieka nie dotyczą. Chyba że jesteś synem prezydenta.
A teraz teoria spiskowa, takie syf może po prostu siedzieć cicho, aż do chwili zero. A w chwili zero niedziałający komputer i tak będzie najmniejszym zmartwieniem
Ja bym się cieszył że Gigabyte zrobiło audyt kodu, że jest on teraz czysty, bardziej pewny niż inny producent który nie jest świadomy co w jego kodzie piszczy....
@Marchew
Przecież to nie babol który wykradnie ci pieniądze z banku czy przejmie konto na fejsie
O święta naiwności !
Backdoor ładowany przed systemem, z własną obsługą stosu IP i możliwością pobrania i uruchomienia dowolnego procesu z uprawnieniami systemowymi, to nie jakiś babol tylko całkowite odkrycie systemu operacyjnego i obejście większości mechanizmów ochrony.
Masz bitlockera lub veracrypta - świetnie, tylko agresor ma dostęp do działającego czytaj zdeszyfrowanego systemu i bez problemu może przeglądać zmieniać i pobierać pliki.
Masz 64 znakowe hasła do banków fejzbuków i innych gmaili - doskonale, ale agresor odpalił w systemie prostego keyloggera przejmującego znaki wprowadzane z klawiatury i wysyła na jakiś ftp.cn
Masz superhiper antywira - rozsądnie, a agersor ma dostęp do jego plików konfiguracyjnych, tego z whitelistą też ...
@UncleFester Nie sądzę aby ktoś posiadając we władaniu taką lukę, wykorzystywałby ją do zwinięcia pieniędzy przeciętnemu kowalskiemu. Dlaczego? Każde użycie takiego narzędzia to ryzyko wykrycia, a jednocześnie ryzyko utraty lewego dostępu do milionów komputerów. Taki backdoor w mojej opinii prędzej posłuży takim np. twórcom pegasusa/predatora w celu uzyskania dostępu do danych, danych cenniejszych niż pieniądze.
@Marchew W zasadzie mówimy o dwóch różnych sprawach.
Ja pisałem o możliwościach jakie daje samo istnienie takiego backdoora, stawiające pod znakiem zapytania wszelkie próby zabezpieczenia integralności systemu. Weź pod uwagę, że masowe gromadzenie danych przy użyciu tej dziury (i to w ujęciu globalnym) jest wręcz trywialne.
Ty piszesz o użyciu tych możliwości przeciw konkretnemu Kowalskiemu i zasadniczo masz rację, nikt się nie będzie bawił w detal, ale w przypadku masywnego wycieku dostaną po majtach duże grupy użytkowników. Zobacz jaką panikę wywołało ostatnie opublikowanie baz polskich loginów haseł i adresów, a podejrzewam, że były zebrane w podobny sposób.
Zaloguj się aby komentować