Руткит на Hacking Team се записва в BIOS и работи след смяна на дисковете

Много компютърни специалисти продължават да анализират файловете и документите на италианската компания Hacking Team, които бяха публикувани в уеб-пространството. Оказа се, че компанията е разполагала с твърде коварен шпионски софтуер. В техния арсенал бе открит UEFI BIOS руткит, който е специално проектиран за троянската част на агента Remote Control System (RCS). Руткитът продължава работата си дори и след подмяната на хард-дисковете.

 

Специалистите на Trend Micro съобщиха, че руткитът е оптимизиран за Insyde BIOS - популярния BIOS за лаптопи и ноутбуци, но кодът ще работи и в AMI BIOS.

 

В документацията на Hacking Team се казва, че за заразяване е необходим физически достъп до компютърното устройство и ръчно презаписване на BIOS, но Trend Micro не изключват възможността за отдалечено инсталиране.

 

Hacking Team дори са предлагали техническа поддръжка на своите клиенти, когато BIOS-а на жертвата не е съвместим с руткита.

 

При инсталиране на заразен софтуер, в компютъра на жертвата се копират три файла. Файлът dropper.mod съдържа действащите агенти scout.exe и soldier.exe. След като руткитът бъде успешно инсталиран, той търси тези файлове, и ако не открие файла scout.exe, отново копира и трите файла в специална директория.