Миллионы материнских плат оказались заражены вредоносным ПО

Миллионы материнских Gigabyte плат были проданы с бэкдором в прошивке

СОКРЫТИЕ ВРЕДОНОСНЫХ ПРОГРАММ в прошивке UEFI компьютера, интерфейсе между операционной системой и микропрограммами, управляющими низкоуровневыми функциями оборудования, стало коварным приемом в арсенале хакеров. Однако когда производитель материнских плат устанавливает свой собственный скрытый бэкдор в прошивку миллионов компьютеров — и даже не устанавливает надлежащую блокировку на этот скрытый черный ход — он практически выполняет эту работу за хакеров.
Исследователи из компании Eclypsium, специализирующейся на кибербезопасности, сообщили, что они обнаружили скрытый механизм в прошивках материнских плат, продаваемых тайваньским производителем Gigabyte, компоненты которого обычно используются в игровых ПК и других высокопроизводительных компьютерах.
Было обнаружено, что всякий раз, когда компьютер с имеющей бэкдор материнской платой Gigabyte перезагружается, код в встроенном ПО материнской платы незаметно запускает программу обновления, которая запускается на компьютере и, в свою очередь, загружает и выполняет другую часть программного обеспечения.

Хотя Eclypsium утверждает, что скрытый код является всего лишь безобидным инструментом для обновления встроенного ПО материнской платы, исследователи обнаружили, что он реализован небезопасно, поскольку использует незашифрованное соединение для доступа к внешнему веб-сайту для загрузки прошивки и имеет слабую защиту, которая может позволить злоумышленнику перехватить обновления и заразить ПК. Но поскольку программа обновления запускается из встроенного ПО компьютера, вне его операционной системы, пользователям сложно её удалить или даже обнаружить.