Stručnjak za računalnu sigurnost Jonathan Brossard demonstrirao je izvedivost hardverskog backdoor malvera Rakshasa, koji se infiltrira u BIOS računala i modificira operacijski sustav za vrijeme bootstrapping procesa, bez ostavljanja traga na tvrdom disku.
Rakshasa zamjenjuje BIOS na matičnoj ploči, ali također može zaraziti PCI firmware ili uređaje kao što su mrežna kartica i CD-ROM, kako bi repliciranjem i samoodržavanjem povećao mogućnost da ne bude izbrisan s računala. BIOS koji je postavio proizvođač zamijenjen je kombinacijom BIOS implementacija otvorenog koda Coreboot i SeaBIOS, alternativom koja radi na velikom broju matičnih ploča. Također zapisuje iPXE firmware za podizanje računala preko mreže na mrežnu karticu.
Sve navedene komponente su modificirane tako da ne odaju svoju prisutnost tijekom bootstrapping procesa. Coreboot može simulirati prikaze na ekran koje inače radi zamijenjeni BIOS. Prema navodima Brossada, svaki zaraženi uređaj može jako dobro kontrolirati neki drugi uređaj, što znači da ako netko postavi originalni BIOS, zaraženi firmware na mrežnoj kartici ili na CD-ROM-u može vratiti zaraženu kopiju BIOS-a. Jedini način da se riješi malvera korisnik može postići „flashanjem“ svakog firmwarea posebno dok je računalo ugašeno, za što su potrebna izrazito stručna znanja.
Brossard je stvorio Rakshasa malver kako bi dokazao da je hardver backdoor moguće postaviti negdje u lancu nabave računalnih dijelova koji se sklapaju u računalo koje se isporučuju korisniku.
Udaljeni napadač koji uspije dobiti sistemske privilegije na računalu kroz razne malvere, mogao bi modificirati BIOS i postaviti Rakshasu. Udaljeni napad ne bi radio u svim slučajevima, jer neki PCI uređaji imaju fizički prekidač koji se mora uključiti kako bi se zamijenio firmware. Ovo ograničenje u određenim situacijama moguće je izbjeći. Prema izjavi Brossarda ovaj malver će raditi: „100 posto kad imamo fizički pristup računalu, a 99 posto ako smo udaljeni napadač“.
iPXE firmware koji se nalazi na mrežnoj kartici konfiguriran je za učitavanje “bootkita” – maliciozni kod koji se izvrši prije operacijskog sustava i bilo kojeg sigurnosnog proizvoda. Neki malveri spremaju bootkit u MBR zapis na tvrdom disku, što olakšava forenzičku analizu. Rakshasa povlači bootkit s udaljene lokacije i učitava ga direktno u radnu memoriju svaki puta kada se pokrene računalo, dok datotečni sustav ostaje netaknut. Bootkit će učitati i modificirati jezgru operacijskog sustava pretvarajući ju u maliciozni alat te se zatim izbrisati iz radne memorije. Tijekom rada računala Rakshasi nema ni traga, a vrlo teško uočljiva modifikacija jezgre obavlja svoj zlonamjerni zadatak.
Demonstriran napredni malver na hardveru
Izvor: Network World