Positive Technologies предупредила об особом виде вредоносного ПО, угрожающего госучреждениям и промышленности России
В российской компании Positive Technologies проанализировали все известные 39 семейств буткитов (вредоносный код, который запускается до загрузки операционной системы) и пришли к выводу, что госучреждения и промышленность России наиболее уязвимы для такого вредоносного кода, сообщила компания.
Основная задача буткита — помочь другому вредоносному программному обеспечению закрепиться в операционной системе до её запуска. Поскольку большинство систем защиты, например, антивирусных программ, запускается одновременно с ОС, вероятность обнаружения буткита уменьшается.
«Ещё недавно была распространена точка зрения, что буткиты, внедряемые на стадии запуска низкоуровневого ПО BIOS или UEFI, практически не встречаются в реальных атаках, однако это миф. Из 39 проанализированных семейств буткитов как минимум 70%, 27 семейств, использовались в кибератаках, причем половина из них, 14, — APT-группировками (осуществляющими сложные кибератаки – ред.), например Careto, Winnti (APT41), FIN1 и APT28», — сказано в сообщении.
По данным Positive Technologies, росту популярности буткитов среди злоумышленников способствует регулярное обнаружение уязвимостей в прошивках микросхем. Например, для UEFI только в 2021 году в национальной базе уязвимостей (NDV) появилось 18 записей. Для сравнения, в 2020 году их было 12, на 30% меньше, а в 2019 — всего пять записей. Сейчас функции буткитов добавляются к разным вредоносным программам: так поступают разработчики шифровальщиков, например Satana и Petya, и ботнетов, к примеру, Trickbot.
«Среди проанализированных нами буткитов 76% были разработаны под устаревший и небезопасный BIOS, — отмечает аналитик исследовательской группы Positive Technologies Яна Юракова. — Intel еще в 2020 году остановила поддержку BIOS, но некоторые компании не могут быстро обновить IT-инфраструктуру либо используют гипервизоры, в которых по умолчанию рекомендовано использовать BIOS. Из-за этого буткиты для заражения BIOS до сих пор не теряют своей актуальности. По нашей оценке, в России с такой проблемой чаще сталкиваются госучреждения и промышленность».
