Rakshasa - новый концепт-вирус, модифицирующий встроенное ПО

Rakshasa был представлен на конференции Black Hat французским исследователем в области информационной безопасности Джонатаном Броссаром.

Концепт Rakshasa способен работать на более чем 200 моделях материнских плат и базируется на микропрограммах с открытым исходным кодом, предназначенных для замены проприетарных BIOS.

Главное отличие новой вредоносной программы от других вирусов, атакующих BIOS, – возможность загрузки буткит-кода с уделенного сервера в оперативную память каждый раз при старте компьютера. (Напомним, что буткит-код – это вредоносный код, загружающийся до старта ОС, что позволяет ему взять под контроль операционную систему и процесс её загрузки).

«Ранее вредоносные программы хранили буткит-код в MBR (главной загрузочной записи) жесткого диска. Теперь же концепт-вирус Rakshasa продемонстрировал возможность удаленной загрузки буткит-кода, что, без сомнения, усложняет или даже делает невозможным обнаружение такой вредоносной программы традиционными антивирусными решениями, работающими на уровне операционной системы, - говорит руководитель экспертной группы eScan в России и СНГ Николай Ионов. - Особенная опасность таких вредоносных программ заключается в том, что в отличие от традиционных вирусов, компьютерная система остается скомпрометированной и после полной переустановки ОС. Для полного удаления следов вредоносной программы может понадобиться дорогостоящая процедура перепрошивки многих "железных" компонентов, включая материнские платы и сетевые карты, что в некоторых случаях может быть сопоставимо со стоимостью компьютера. Потенциально такой тип вредоносных программ представляет очень большую угрозу».

«К счастью, на сегодня данный концепт является лишь “лабораторной” разработкой, главная цель которой – привлечение внимания не только к защите операционных систем и программ, но также и к безопасности “железа”, - отмечает эксперт eScan. - Для защиты от подобных вирусов необходимо тесное сотрудничество вендоров антивирусного ПО с производителями аппаратных средств и разработчиками прошивок. Необходимо использовать высокоэффективные решения, способные анализировать всю сетевую активность компьютеров сети и верифицировать целостность ПО, встроенного в аппаратное обеспечение».

«Появление подобного концептуального вредоносного программного обеспечения поднимает важные вопросы безопасности, связанные с утечкой конфиденциальных и секретных данных. Потенциально злоумышленники могут использовать аналогичные технологии для заражения компьютерных систем ещё на стадии поставки комплектующих, что делает обнаружение "закладок" крайне затруднительным», - добавляет эксперт eScan.