ESET Research обнаружила ESPecter, загрузочный комплект UEFI для кибершпионажа
БРАТИСЛАВА — Исследователи ESET обнаружили ранее недокументированный загрузочный комплект UEFI реального мира, который сохраняется в системном разделе EFI (ESP). Загрузочный комплект, который ESET назвала ESPecter, может обойти принудительное использование подписи драйвера Windows для загрузки собственного неподписанного драйвера, что облегчает его шпионскую деятельность. ESPecter является вторым открытием буткита UEFI, сохраняющегося в ESP, и показывает, что реальные угрозы UEFI больше не ограничиваются флэш-имплантатами SPI, используемыми Lojax, которые были обнаружены ESET в 2018 году.
ESPecter был обнаружен на скомпрометированной машине вместе с клиентским компонентом пользовательского режима с функциями записи ключей и кражи документов, поэтому ESET Research считает, что ESPecter в основном используется для шпионажа. “Интересно, что мы проследили корни этой угрозы, по крайней мере, до 2012 года; ранее она работала как загрузочный комплект для систем с устаревшими BIOS. Несмотря на долгое существование ESPecter, его операции и обновление до UEFI остались незамеченными и до сих пор не были задокументированы”, - говорит исследователь ESET Антон Черепанов, который обнаружил и проанализировал угрозу вместе с исследователем ESET Мартином Смоларом.
“В последние несколько лет мы видели примеры, подтверждающие концепцию загрузочных наборов UEFI, утечек документов и даже утечек исходного кода, предполагающих существование реальных вредоносных программ UEFI либо в виде имплантатов SPI flash, либо имплантатов ESP. Несмотря на все вышесказанное, было обнаружено только четыре реальных случая вредоносного ПО UEFI, включая ESPecter”,-объясняет Черепанов.
Изучив телеметрию ESET, ESET Research смогла датировать начало этого загрузочного комплекта по крайней мере 2012 годом. Интересно то, что компоненты вредоносного ПО практически не изменились за все эти годы, а различия между версиями 2012 и 2020 годов не столь значительны, как можно было бы ожидать. После всех лет незначительных изменений участники угроз, стоящие за ESPecter, очевидно, решили перенести свои вредоносные программы из устаревших систем BIOS в современные системы UEFI.
Вторая полезная нагрузка, развернутая ESPecter, представляет собой бэкдор, который поддерживает широкий набор команд и содержит различные возможности автоматической фильтрации данных, включая кражу документов, ведение кейлоггинга и мониторинг экрана жертвы путем периодического создания скриншотов. Все собранные данные хранятся в скрытом каталоге.
“ESPecter показывает, что участники угроз полагаются на встроенное ПО UEFI, когда речь заходит о сохраняемости до операционной системы, и, несмотря на существующие механизмы безопасности, такие как безопасная загрузка UEFI, тратят свое время на создание вредоносных программ, которые легко блокируются такими механизмами, если они включены и правильно настроены”,-добавляет Смолар.
Чтобы обезопасить себя от ESPecter или угроз, подобных ему, ESET рекомендует пользователям следовать этим простым правилам: всегда используйте последнюю версию встроенного ПО; убедитесь, что система правильно настроена и включена безопасная загрузка; и настройте управление привилегированными учетными записями, чтобы предотвратить доступ злоумышленников к привилегированным учетным записям, необходимым для установки загрузочного комплекта.
Для получения более подробной технической информации об ESPecter прочитайте сообщение в блоге “Угрозы UEFI, переходящие в ESP: введение в загрузочный комплект ESPecter” на WeLiveSecurity. Обязательно следите за исследованиями ESET в Twitter, чтобы получать последние новости от ESET Research.
Спецпроект «Агент будущего» «Российской газеты» представил мнение Антона Хаймовского, руководителя разработки и владельца продукта ContentCapture, о современных тенденциях перехода юридической сферы от традиционного ручного анализа к интеллектуальной автоматизации. Специалист подробно осветил перспективы, преимущества и существующие ограничения новых технологий применительно к таким направлениям, как оценка правовых рисков, комплексная проверка контрагентов (due diligence), мониторинг соблюдения нормативных требований (комплаенс) и создание юридических документов с использованием автоматизированных решений.
Согласно статистике детектирований антивируса Dr.Web, в IV квартале 2025 года общее число обнаруженных угроз увеличилось на 16,05% по сравнению с III кварталом. Число уникальных угроз при этом снизилось на 1,13%. Наибольшее распространение получили нежелательные рекламные приложения, вредоносные скрипты и различные вредоносные программы, в том числе загрузчики и рекламные трояны.
Большинство российских предприятий обеспокоено возможностью раскрытия секретных сведений вследствие внедрения искусственного интеллекта. Глава технологического подразделения Content AI Сергей Юдин поделился своим мнением с изданием «Российская газета», раскрыв причины, по которым публичные нейросети представляют собой потенциальный источник серьёзных утечек информации, и предложил рекомендации по осторожному внедрению ИИ-технологий внутри корпораций
Отечественные компании «Базальт СПО», создающая системное программное обеспечение, и VINTEO, разрабатывающая профессиональные инструменты видеоконференций, объявили о подтвержденной совместимости операционных систем «Альт» с клиентским приложением VINTEO Desktop.
Специалисты обеих организаций провели ряд тестирований, по итогам которых была удостоверена полная совместимость и бесперебойная работа приложения VINTEO Desktop на операционных системах «Альт Рабочая станция» версий 10 и 11. Подтверждение результатов зафиксировано соответствующими двусторонними сертификатами.
Фирма «ИнтерТраст», создатель корпоративной системы электронного документооборота CompanyMedia, совместно с российским производителем операционных систем «Базальт СПО» завершила тестирование и подтвердила полное соответствие и стабильность функционирования СЭД CompanyMedia на операционных системах линейки «Альт». Полученный сертификат №0312/25 от 16 октября 2025 года подтверждает успешность проведенных испытаний специалистами «ИнтерТраст». Итоги проверок зафиксированы в специальном двустороннем протоколе
При исследовании определенной партнерской сети эксперты компании «Доктор Веб» выявили оригинальное вредоносное программное обеспечение типа кликер, обозначенное как Trojan.ChimeraWire. Это приложение функционирует на устройствах с установленной операционной системой Windows и создано на базе открытых проектов zlsgo и Rod, предназначенных для автоматизации взаимодействия с веб-ресурсами и приложениями.
Программное обеспечение позволяет автоматически распознавать текст в сканированных документах, значительно сокращая сроки их подготовки и размещения в ведущем региональном цифровом архиве
С 3 по 5 октября 2025 года в городе Переславль-Залесский прошла XXI конференция разработчиков свободного программного обеспечения. Мероприятие посетило свыше 2 тысяч участников, присутствовавших лично и подключившихся удаленно. Организацию события взяли на себя компания «Базальт СПО» и Институт программных систем имени А.К. Айламазяна Российской академии наук (ИПС РАН)
В июле 2025 года в компанию «Доктор Веб» обратился клиент из государственного сектора Российской Федерации с подозрением о возможной компрометации внутренней сети. Гипотеза возникла в связи с тем, что клиент зафиксировал рассылку нежелательных сообщений с одного из корпоративных почтовых ящиков. Проведенное нашей антивирусной лабораторией расследование инцидента показало, что учреждение подверглось целевой атаке со стороны хакерской группировки, которую специалисты «Доктор Веб» идентифицировали как Cavalry Werewolf. Одной из целей кампании был сбор конфиденциальной информации и данных о конфигурации сети
Ваши контактные данные не публикуются на сайте.