Когда «антивор» против вас

Новости Угрозы

Что, если на вашем ноутбуке работает «антиворовское» приложение, которое вы никогда не активировали? И оно может открыть удаленный доступ к вашему компьютеру? И его невозможно удалить, даже заменив жесткий диск? Звучит как городская легенда, но, как ни странно, является чистой правдой.
anti-theft
Именно это обнаружил Сергей Белов, антивирусный эксперт «Лаборатории Касперского», когда начал разбираться с непонятной программной ошибкой на личном ноутбуке своей жены. Его внимание привлек подозрительный процесс, запущенный на компьютере. Сначала Белов решил, что ему попался доселе неизвестный руткит. Но в итоге оказалось, что процесс легитимный — он является частью Absolute Computrace, популярного «противоугонного» приложения для ноутбуков. В отличие от многих аналогов, Computrace имеет очень, очень эксклюзивную возможность — часть приложения «живет» в BIOS или UEFI, то есть микросхеме, на которой зашита самая первая программа, запускаемая на компьютере еще до запуска операционной системы.  Благодаря этому Computrace может «пережить» любые попытки удаления вплоть до замены жесткого диска. Тревогу экспертов вызвал тот факт, что жена Белова никогда не запускала приложение и даже не знала, что оно установлено на компьютере. А дальнейший анализ принес по-настоящему плохие новости. Злоумышленники при определенных условиях могут перехватить управление приложением Computrace и, по сути, завладеть компьютером пользователя дистанционно.

«Противоугонные» приложения очень полезны для мобильных устройств, поскольку маленькие и дорогие гаджеты любимы ворами

Вообще говоря, «противоугонные» приложения очень полезны для мобильных устройств, поскольку маленькие и дорогие гаджеты любимы ворами. В силу своей специфической задачи антиворовская программа должна быть маленькой, незаметной, она поддерживает соединение с головным сервером, чтобы при необходимости сообщить о местоположении компьютера или выполнить нужное действие, если ноутбук украден. Ну и наконец, она должна сопротивляться попыткам отключения со стороны воришки. Из-за всего этого противоугонное приложение работает с компьютером на низком уровне, то есть обращается напрямую к его аппаратным ресурсам и имеет серьезные привилегии доступа. И что происходит, если такое мощное приложение уязвимо? В худшем случае хакер может получить полный доступ к вашей машине.

К сожалению, все это не теория. На прошлой неделе я был свидетелем демонстрации, проведенной экспертами «Лаборатории Касперского» Виталием Камлюком и Сергеем Беловым на Security Analyst Summit 2014. Дуэт исследователей достал из коробки свежекупленный ноутбук ASUS, миновал начальные экраны Windows, а затем воспользовался другим компьютером, чтобы дистанционно активировать на ноутбуке веб-камеру, а затем и инициировать процедуру «зачистки» лэптопа. Это было сделано при помощи перехвата незашифрованных сетевых пакетов и отправки обратно нужных данных, имитирующих команды легитимного сервера Computrace.

К этому моменту вы, вероятно, уже очень хотите проверить свой ноутбук на наличие агента Computrace  и заняться его спешным удалением. Не тратьте силы, это весьма проблематично. Как уже говорилось, агент должен сопротивляться удалению, и у Computrace для этого есть карт-бланш. Та часть Computrace, которая находится в BIOS, проверяет, установлен ли на компьютере полноценный агент. Если нет — при очередной загрузке на диск сохраняется небольшое Windows-приложение, которое, в свою очередь, загружает из Интернета полноценный агент Computrace  и активирует его. Вот эта фаза работы и уязвима к удаленному взлому, что и было показано на SAS 2014.

demo-computrace

Полный анализ ситуации доступен в посте Камлюка и Белова на Securelist, также там приведены признаки, по которым на компьютере можно определить работающий агент Computrace.

По данным облачного сервиса Kaspersky Security Network, у 150 000 клиентов «Лаборатории Касперского» запущен агент Computrace. Виталий Камлюк оценивает, что в целом Computrace активен примерно на 2 млн компьютеров во всем мире. Мы не знаем, насколько много из них активированы пользователями по своей воле.

BIOS-компонента Computrace установлена на большинстве популярных чипов BIOS/UEFI, которые используются в ноутбуках лидеров рынка: Acer, ASUS, Sony, Toshiba, HP, Lenovo, Samsung и других. В некоторых ноутбуках имеется настройка BIOS для включения/отключения Computrace, в других такого удобства нет. Далеко не каждый компьютер имеет запущенный агент Computrace, даже если в BIOS эта функция зашита, на многих машинах приложение неактивно. В то же время нашим экспертам удалось приобрести несколько новых ноутбуков, на которых агент был активен сразу же после первого включения. Почему приложение активируется само и кто при этом его контролирует — остается загадкой.
[youtube http://www.youtube.com/watch?v=O-fa8rxO2YI]