ESET Temukan Malware UEFI Dengan Potensi Yang Jauh Lebih Berbahaya

Malware UEFI kini bisa menjadi ancaman baru yang sangat berbahaya bagi pengguna, terlebih lagi bagi mereka yang masih memakai sistem lama sebagai pilihan utama. ESET baru saja mengungkap bagaimana potensi malware ini, bahkan bisa membuat pengguna tidak berdaya.

Peneliti keamanan di ESET telah menunjukkan bahwa rootkit UEFI tidak lagi menjadi topik teoritis untuk diskusi di konferensi. Mereka menemukan bahwa beberapa kelompok penjahat seperti Fancy Bear, Strontium, Sofacy dan sebagainya telah menemukan cara untuk memodifikasi isi dari memori flash tempat UEFI disimpan dimana mereka menyebutnya sebagai malware LoJax.

Dan tidak seperti malware tradisional yang diinstal ke hard drive, komponen malware LoJax ditemukan dalam firmware yang membantu memuat sistem operasi. Bahkan pengguna yang memformat dan mengganti hard drive tidak dapat menghentikan malware yang tersembunyi dalam memori flash tersebut pada motherboard. Meskipun masih dimungkinkan untuk memindai isi UEFI, ini bukan praktik pengguna umum. Satu-satunya cara untuk menghapus malware yang ditemukan di UEFI adalah mem-flash firmware dengan salinan yang sah.

Sebagai bagian dari malware LoJax, driver kernel digunakan untuk mendapatkan akses ke pengaturan UEFI. Driver yang bersangkutan dibundel dengan sepotong perangkat lunak yang disebut RWEverything yang merupakan aplikasi yang sah untuk membaca informasi sistem tingkat rendah. Ini memiliki sertifikat penandatanganan kode yang valid dan tidak masalah dalam kondisi normal. Driver ini hanya digunakan untuk mendapatkan informasi tentang sistem target.

Satu-satunya tujuan dari malware UEFI yang ditemukan adalah menjatuhkan malware tambahan ke dalam sistem pada saat boot dan berjalan pada saat startup. Alat ketiga kemudian digunakan untuk menyuntikkan modul jahat ke dalam salinan yang tersimpan dan menuliskannya kembali ke memori flash.

Untungnya, fitur UEFI modern bisa kebal terhadap jenis eksploitasi ini, apalagi jika pengguna mengaktifkan Secure Boot. Ini dipercaya bisa mencegah serangan malware tersebut bekerja, karena firmware yang dimodifikasi tidak ditandatangani. Secure Boot biasanya mengharuskan semua firmware ditandatangani dengan benar untuk dieksekusi.

Selain itu, serangan malware UEFI hanya bekerja pada sistem konfigurasi yang memiliki kerentanan, contohnya pada perangkat lama. Disisi lain, banyak pengguna hari ini mungkin memiliki pilihan bios dengan sistem yang lebih modern, sehingga pengguna akhir tidak perlu khawatir. Sedangkan sistem komputasi bisa menjadi target utama malware ini . Oleh karena itulah, para penjahat tampaknya menargetkan malware ini pada mereka yang menjalankan sistem UEFI lama, termasuk pemerintahan.