80% от фирмите са преживели поне една фърмуер-атака през последните две години
(снимка: CC0 Public Domain)
Софтуерният гигант Microsoft наскоро публикува доклад, в който се твърди, че бизнесът в световен мащаб пренебрегва ключов аспект на своята киберсигурност – необходимостта от защита на компютри, сървъри и други устройства от… фърмуерни атаки.
Проучването е проведено сред 1000 лица, вземащи решения за киберсигурността в предприятия от различни индустрии във Великобритания, САЩ, Германия, Япония и Китай. То разкрива, че 80% от фирмите са преживели поне една фърмуер-атака през последните две години. И все пак само 29% от бюджетите за сигурност са разпределени за защита на фърмуера.
Новият доклад обаче идва непосредствено след установена „значителна уязвимост” в сигурността, засягаща широко използваната система за електронна поща Exchange на Microsoft. Трябва ли бизнесът трябва да бъде по-притеснен относно атаките към фърмуера?
Как работи фърмуер атаката
Фърмуерът е вид постоянен софтуерен код, използван за управление на всеки хардуерен компонент в компютърното устройство. Все по-често киберпрестъпниците проектират злонамерен софтуер, който тихомълком подправя фърмуера в дънните платки или фърмуера в хардуерните драйвери.
Това е подъл начин за заобикаляне на операционната система на компютъра или всеки софтуер, предназначен за откриване на злонамерен софтуер. Фърмуерът е софтуерен код към хардуера, тоест е слой под операционната система, и системите за защита не го обхващат.
Мнозина експерти по сигурността коментираха наскоро пред BBC, че дори ИТ отделите да следват най-добрите практики в областта на киберсигурността, все пак масово се забравя за безопасността на фърмуера.
„Хората не мислят за това от гледна точка на обновяването – фърмуерът не се актуализира често, а когато това се случва, понякога нарушава работата на нещата”, обяснява австралийският изследовател по киберсигурност Робърт Потър. Той е изградил оперативния център за киберсигурност на Вашингтон пост и консултира австралийското правителство по киберсигурността.
„Обновяването на фърмуера понякога може да бъде сложно, затова за много компании този аспект се превръща в сляпа зона”, предупреждава Потър.
През последните две години бяха открити няколко големи фърмуерни атаки като например RobbinHood – рансъмуер, който атакува фърмуера, за да получи пълен достъп до компютъра на жертвата, и след това шифрова всички файлове, докато не бъде изплатен биткойн откуп. Този злонамерен софтуер „взе за заложници” данните на няколко американски града през май 2019 г.
Друг пример е Thunderspy – атака, която използва функцията за директен достъп до паметта (DMA), използвана от хардуерните компоненти на компютъра, за да говорят помежду си. Атаката е толкова скрита, че нападателят може да чете и копира всички данни от компютъра, без да остави никаква следа. Атаката е възможна дори ако твърдият диск е криптиран, компютърът е заключен или е в режим на хибернация.
„Ако фърмуерът на устройството няма защита или ако защитата може да бъде заобиколена, тогава компромисът е едновременно невероятно сериозен и потенциално невидим”, обяснява Крис Бойд, анализатор на злонамерен софтуер в компанията за сигурност Malwarebytes. Подобен компромис позволява на измамника да открадне данни, да увреди системата, да шпионира.
Големи организации на прицел
Добрата новина, доколкото може да има добра новина тук, е, че фърмуерните атаки са по-малко насочени към потребителите, а повече към големите фирми. Компаниите трябва да се пазят, казва Габриел Цирлиг, изследовател по сигурността в американската фирма за киберсигурност Human. „Проблемът е сериозен, но работи предимно срещу големи организации, защото атакуващите трябва да се насочат към конкретни видове дънни платки и фърмуер”.
Фърмуерните атаки са по-рядко срещани и по-сложни за изпълнение от другите видове кибератаки, но за съжаление пандемията на коронавируса ускори развитието им. Дистанционната работа позволи това – всеки един от отдалечено свързващите се компютри и мобилни устройства е възможност.
Резултатът е налице. Националният институт за стандарти и технологии (NIST) на САЩ непрекъснато актуализира Националната база данни за уязвимости с нови пробойни в сигурността и е показателно, че през последните 4 години базата отчете петкратно увеличение на атаките срещу фърмуер.
Извършването на фърмуерна атака може да е сложно, казва Цирлиг, но ако нападателите откраднат мълчаливо критична информация от лаптопа на мениджър от високо ниво в дадена корпорация, например пароли, биха могли да я използват, за да проникнат в мрежите на компанията и да откраднат много повече данни. „Това е голяма операция с голяма възвръщаемост – не е нещо, за което малка група киберпрестъпници има необходимата работна ръка”.
Скоро и във Вашата мрежа
Въпреки че фърмуерните атаки не са толкова повсеместни, колкото фишинг измамите, злонамерения софтуер или други кибератаки, експертите по киберсигурност смятат, че е крайно време бизнесът и технологичната индустрия да обърнат внимание на хардуерната сигурност.
„Фърмуерните атаки не са често срещани всеки ден, но това е така, защото хората не осъзнават, че са станали жертва на подобна атака”, казва г-н Бойд. „Това е като времето, когато рансъмуерът излезе за пръв път на сцената – хората не знаеха някой да е заразен от такова нещо. От своя страна, големите организации са склонни да си мълчат, да не казват на никого за това, тъй като има елемент на срам”.
Експертите са на мнение, че можем да очакваме тенденцията да се засилва с увеличаването на броя на уредите, които се свързват към интернет. С традиционно по-слаба защита на всички нива „умните” домашни машини и „интелигентните” автомобили ще стават привлекателна и лесна възможност за фърмуер атаки.