Daily Beast рассказал о «новом страшном вирусе» русских хакеров
На вооружении у России появилось очередное «страшное» кибероружие, предупреждает The Daily Beast. По словам издания, после попадания этой новой «разработанной хакерами ГРУ» вредоносной программы на компьютер форматировать жёсткий диск бесполезно, потому что она прописывается на одном из чипов материнской платы.
Reuters
В арсенале русских хакеров появилось ещё одно «ужасное оружие». «Если этот новый вирус Путина до вас доберётся, то можете не утруждать себя чисткой жёсткого диска. Просто выкиньте ваш компьютер», — пишет The Daily Beast.
Издание утверждает, что российское ГРУ «разработало и начало применять» вредоносный код, который в буквальном смысле невозможно извести. Он способен пережить даже полное форматирование жёсткого диска и позволяет «хакерам Кремля возвращаться снова и снова».
Вирус переписывает код, хранящийся в компьютерном чипе UEFI — маленьком кремниевом блоке на материнской плате, контролирующем процесс загрузки и перезагрузки. Очевидная цель программы — сохранить доступ к «особо важным целям» в случае перестановки операционной системы или замены жёсткого диска, то есть изменений, которые обычно позволяют «избавиться от незваного гостя», поясняет The Daily Beast.
Эксперты европейской компании ESET, первыми обнаружившие этот вирус, считают, что за его разработкой стоит хакерская группа Fancy Bear, которой приписывают связи с российской разведкой. Именно её американские власти обвиняют во «вмешательстве» в президентские выборы США 2016 года, напоминает издание.
Эта «продвинутая вредоносная программа» демонстрирует, что Кремль «продолжает инвестировать в хакерские операции». Только за последние 12 лет «хакеры ГРУ» взламывали НАТО, Белый дом при Обаме, французскую телестанцию, Всемирное антидопинговое агентство и «бесконечное множество» НКО. Кроме того, их целями становились военные и гражданские организации в Европе, Центральной Азии и на Кавказе, утверждает The Daily Beast.
«Российские кибератаки не встречают сопротивления, — считает бывший агент ФБР Клинт Уоттс. — И до тех пор, пока нет сдерживания, они не остановятся и будут всё более и более высокотехнологичными».
Каким бы высокотехнологичным он ни был, новый «российский вирус» работает только на компьютерах, имеющих уязвимость в настройках UEFI. Более того, это не первый код, который обладает способностью прятаться в этом чипе. Ещё в 2015 году стало известно, что создатели программ-шпионов Hacking Team предлагали код, выполняющий аналогичную функцию. Существуют даже свидетельства, что Fancy Bear позаимствовала фрагменты этого кода, считают эксперты ESET.
Первый намёк на новую «российскую вредоносную программу» появился ещё в марте прошлого года. Тогда специалисты компании Arbor Networks сообщили о вирусе, который выглядел, как компонент приложения Absolute LoJack.
Это приложение позволяет владельцам ноутбуков определить местоположение похищенного устройства или дистанционно удалить с компьютера конфиденциальную информацию. Хакеры скопировали часть этой программы — фоновый процесс, который сохраняет контакт с серверами Absolute Software, — и сделали так, чтобы она отправляла информацию на контрольный сервер Fancy Bear.
Исследователи ESET назвали вирус LoJax. Они заподозрили, что перед ними только часть более крупной головоломки и начали искать другие компоненты в Восточной Европе и на Балканах, где вредоносная программа появлялась наряду с «более узнаваемыми» кодами Fancy Bear.
Они нашли новый компонент LoJax, созданный для получения технических подробностей о компьютерном чипе UEFI, и предположили, что Fancy Bear нацелилась на материнскую плату. Подтверждение они нашли в форме ещё одного компонента под названием ReWriter_binary, который заменял код производителя на хакерский.
Эта вредоносная программа в UEFI играет роль телохранителя для фальшивого агента LoJack. При каждой перезагрузке взломанный чип проверяет, что разработанный под ОС Windows вирус всё ещё находится на жёстком диске и в случае отсутствия переустанавливает его.
К настоящему моменту эксперты нашли один компьютер с инфицированным чипом UEFI среди множества с фальшивым компонентом LoJack. Это навело их на мысль, что этот вирус относительно новый и применяется достаточно редко. Тем не менее его появление нужно воспринимать в качестве серьёзного предупреждения.
В прошлом году WikiLeaks раскрыл, что ЦРУ использовало собственный вирус под названием DerStarke, чтобы сохранять доступ к компьютерам на операционной системе Мас OS, используя аналогичную методику. Но до сих пор свидетельства подобных атак не были обнаружены на практике, обращает внимание The Daily Beast.
Публикуем в Twitter актуальные зарубежные статьи, выбранные редакцией ИноТВ
Сегодня в СМИ
