Halvale teele minek ehk Kuidas kasulik tarkvara muutub ründerelvaks

20.02.2014

Kaspersky Lab on tuvastanud, et ettevõtte Absolute Software loodud Absolute Computrace’i tarkvara võrguprotokolli puudulik teostus võib osutada omamoodi karuteene ja muuta kasuliku tarkvara kurjategijate relvaks. Selle tarkvara defekt võib avada küberkurjategijate ligipääsu miljonitele arvutitele üle maailma: säärasel juhul saab võtmeks Absolute Computrace’i tarkvara agent, mis asub tänapäevaste laua- ja sülearvutite baasvahetussüsteemis.

Kaspersky Lab hakkas Absolute Software’i kaitsetarkvara analüüsima pärast seda, kui selgus, et Absolute Computrace’i tarkvara agent käivitub mõnes arvutis eelneva autoriseerimiseta. Toote puhul on küll tegemist legaalse arendusega, kuid mitmed kasutajad on väitnud, et pole seda kunagi oma arvutisse installinud ega käivitanud. Mõnel juhul kasutaja isegi ei teadnud, et tema arvutis on selline tarkvara.

Enamikku eelpaigaldatud tarkvaradest saab kasutaja lihtsalt eemaldada või deaktiveerida. Arvuti baasvahetussüsteemis asuv Absolute Computrace jätkab aga töötamist isegi pärast süsteemi suurpuhastust ja kõvaketta vahetust.

Kuid see pole ainus Absolute Computrace’i eripära, mis tekitab kasutajas kahtlust. See tarkvara kasutab tehnoloogiat, mis raskendab pöördtransleerimist ja analüüsi, ning Absolute Computrace rakendab ka teisi pahavara loojate seas populaarseid vahendeid, muu hulgas lisab mälusse teisi protsesse, loob varjatud sidekanaleid, muudab kõvaketta süsteemifaile, krüpteerib konfigureerimisandmeid ning loob Windowsi käivitatavaid faile baasvahetussüsteemi koodi alt.

Nii võimsate tarkvara agentide abil saavad küberkurjategijad potentsiaalse võimaluse võtta oma kontrolli alla arvuteid, kuhu on paigaldatud Absolute Computrace. Teoreetiliselt saab seda tarkvara kasutada luuremoodulite laiendamiseks.

Selleks, et nii võimas vahend, kui seda on Absolute Computrace, jätkaks parima otstarbe täitmist, peab ta kasutama autentimis- ja krüpteerimismehhanisme. Ilmselge on ka see, et tarkvara nii laia leviku puhul peab selle arendaja, Absolute Software vastutama tarkvara deaktiveerimise võimalustest teavitamise eest. Vastasel juhul muutub tarkvara oma agendi hoolde sattudes suurepäraseks nõrkusi ärakasutavate kurjategijate salakäiguks.

Kaspersky Security Networki pilveteenuse andmetel toimib Absolute Computrace praegu umbes 150 000 kasutaja süsteemis. Aktiveeritud agendiga kasutajate üldarv võib aga hinnanguliselt ületada 2 miljonit ning pole teada, kui paljud neist on kursis, et nende arvutis on selline tarkvara. Samuti on eksperdid tuvastanud, et enamik aktiivse Absolute Computrace’i agendiga arvuteid asub Ameerika Ühendriikides ja Venemaal.

Computrace’i võrguprotokoll annab baasvõimaluse kaugjuhtimise abil koodi rakendamiseks. Ta ei nõua andmete krüpteerimiseks või kaugserveri kontrollimiseks krüptograafiliste mehhanismide kasutamist, võimaldades kurjategijatel teha kaitsmata võrgu keskkonnas kaugrünnakuid.

Praegu puuduvad tõendid selle kohta, et Absolute Computrace’i kasutatakse rünnakuplatvormina. Kuid mitme ettevõtte eksperdid näevad sellist võimalust. Seda on kaudselt kinnitanud ka praeguseks seletamata jäänud autoriseerimata tarkvara käivitumised.

Samas avaldasid ettevõtte Core Security Technologies spetsialistid oma uuringu Absolute Computrace’i kohta juba aastal 2009. Nad käsitlesid selles tarkvaras rakendatud tehnoloogia ohte ja seda, kuidas saavad kurjategijad moonutada süsteemi registrit, et haarata tarkvara juhtimine enda kätte.

Minevikus esinenud turvalisuse seisukohast kahemõttelised Absolute Computrace’i tarkvara agendi töömehhanismid olid põhjuseks, miks viirusetõrje aktiveerus. Mõningate aruannete kohaselt on Microsofti kaitselahendus varem andnud Absolute Computrace’i klassifikatsiooniks VirTool:Win32/BeeInject. Hiljem Microsoft ja teised kaitselahenduste müüjad siiski lõpetasid selle tarkvara agendi käsitlemise pahavarana. Absolute Computrace’i käivitatavad failid on praegu enamiku viirusetõrje ettevõtete valges nimekirjas.

Absolute Computrace’i tarkvara agendi töö eripärade detailsema aruandega saab tutvuda Kaspersky Labi ametlikul analüüsilehel, mis asub aadressil www.securelist.com/ru/analysis/208050831/Ugroza_iz_BIOS.