Регрессоры-прогрессоры, или UEFI как метафора

( Октябрь 2020, idb.kniganews )

Лаборатория Касперского представила миру очередную «новую-старую» компьютерную угрозу, прячущуюся в прошивках микросхем и получившую название MosaicRegressor. Имеет смысл рассмотреть этот сюжет в необычном контексте реальной научно-фантастической истории.

Для начала погружения в главную тему всей этой разветвлённой и несколько странной саги – одновременно научно-технической и детективно-эпической – вполне естественно было бы предоставить слово тем людям из Kaspersky Lab, прежде всего, которые сделали собственно Зачин. То самое, иными словами, примечательное нынешнее открытие в области компьютерных угроз.

Но сами эти люди почему-то предпочитают изъясняться на данный счёт только по-английски: MosaicRegressor: Lurking in the Shadows of UEFI. By Mark Lechtik, Igor Kuznetsov, Yury Parshin. (Kaspersky) Securelist, October 5, 2020.

Поэтому здесь, дабы не заниматься сомнительными делами типа перевода на русский англоязычного текста от русскоязычных авторов, достаточно просто дать ссылки на сопутствующие материалы, уже появившиеся в Рунете. В частности, компетентно и в более популярном виде английский текст оригинала, насыщенного техническими подробностями, пересказан по-русски на страницах Блога Касперского , на сайтах Хабр и Хакер.ру .

В кратком варианте перекрёстных цитирований вводно-содержательная часть всех этих статей рассказывает следующее:

Аналитики «Лаборатории Касперского» рассказали об обнаружении шпионской кампании, которая использовала сложную модульную структуру MosaicRegressor, куда, в числе прочего, входит буткит или загрузочный вредонос для UEFI, всего второй, насколько известно, из обнаруженных в «дикой природе» за всю историю наблюдений.

Атаки на UEFI (от Unified Extensible Firmware Interface, «Единый расширяемый интерфейс прошивок») – это настоящий Святой Грааль для хакеров. Что же представляет собой UEFI и в чем опасность буткита?

Если попробовать упростить, можно сказать, что UEFI (как и подсистема BIOS, которой UEFI пришло на смену) — это программное обеспечение, которое запускается при старте компьютера, ещё до запуска самой операционной системы. При этом оно хранится не на жёстком диске, а на отдельном чипе материнской платы.

Отсюда и главная опасность, связанная с компрометацией этой среды: если внести изменения в код UEFI, то можно получить полный контроль над компьютером. Например, изменять содержимое оперативной памяти, содержимое диска или, как в случае с буткитом MosaicRegressor, заставить операционную систему запустить вредоносный файл и/или использовать его для доставки прочего вредоносного ПО в систему жертвы. Поскольку речь идёт о низкоуровневой вредоносной программе, избавиться от неё с помощью замены жёсткого диска или переустановки ОС не получится.

В ходе описываемой кампании был обнаружен именно такой случай. Исследователи Лаборатории обнаружили сложную целевую атаку, модифицирующую код UEFI и направленную на дипломатические учреждения и общественные организации в Африке, Азии и Европе… [конец цитирования]

Ну а теперь, когда Зачин этой истории «после упрощения» стал вроде бы ясен и понятен, настала пора предупредить, что на самом деле всё тут очень и очень непросто. Куда более интересно и запутаннее. А чтобы начать этот клубок распутывать, полезно рассмотреть тот же самый сюжет ещё с двух иных позиций, существенно отличающихся друг от друга.

В одной проекции эта история – при её аккуратном разворачивании в прошлое – с любопытными параллелями накладывается на абсолютно реальные, хорошо известные, но при этом и весьма загадочные факты из хронологии открытий в физике XX века.

Ну а при рассмотрении с позиции другой – в проекции на известные всем произведения братьев Стругацких и других выдающихся фантастов – та же самая история предоставляет довольно неожиданные ключи к пониманию будущего человечества. То есть будущего в наиболее вероятных вариантах его развития…

Читать «Регрессоры-прогрессоры, или UEFI как метафора» далее