„Kaspersky Lab“ nustatė, kad netobulas tinklinio protokolo, bendrovės „Absolute Software“ naudojamo produkto „Absolute Computrance“, įgyvendinimas gali tapti savotiška „Archimedo svirtimi“ ir naudingą programinę įrangą paversti galingu apgavikų ginklu.
Šis programinis defektas gali kibernetiniams nusikaltėliams atversti prieigą prie milijonų kompiuterių visame pasaulyje – tokiu atveju raktu taptų programinis agentas „Absolute Computrance“, saugomas šiuolaikinių kompiuterių ir nešiojamųjų kompiuterių BIOS mikroprogramoje.
„Kaspersky Lab“ specialistai pradėjo tirti šios „Absolute Software“ apsaugos programinės įrangos ypatumus, kai išsiaiškino, kad programinis agentas „Absolute Computrace“ veikia daugybėje kompiuterių be išankstinio leidimo. Nors šis produktas yra legalus, kai kurie vartotojai teigė, kad niekada jo nediegė ir neaktyvino, o kai kurie visiškai nežinojo apie šią programinę įrangą savo kompiuteriuose. Dauguma iš anksto nustatytų programų gali būti lengvai pašalinamos arba išaktyvinamos vartotojo, o kompiuterio mikroprogramoje esantis „Absolute Computrace“ tęsia darbą netgi kruopščiai išvalius sistemą arba pakeitus diską.
Tačiau ne tik šis „Absolute Computrace“ ypatumas vartotojui gali sukelti įtarimų. Minėta programinė įranga taiko technologijas, apsunkinančias ardymą ir analizę, taip pat kitus populiarius virusų kūrėjų instrumentus, pavyzdžiui, injekciją į kitų procesų atmintį, paslėptų ryšio kanalų organizavimą, sisteminių failų keitimą diske, konfigūracinių duomenų šifravimą ir vykdomųjų „Windows“ failų kūrimą tiesiogiai iš BIOS mikroprogramos kodo.
„Taikydami šiuos galingus programinius agentus kibernetiniai nusikaltėliai gauna potencialią galimybę kontroliuoti kompiuterius, kuriuose įdiegtas „Absolute Computrace“ sprendimas. Teoriškai ši programinė įranga gali būti panaudota dislokuojant apgavikų šnipinėjimo modulius, – aiškina Vitalijus Kamliukas (Vitaly Kamluk), „Kaspersky Lab“ vyriausiasis antivirusų ekspertas. – Kad toks galingas instrumentas kaip „Absolute Computrace“ tarnautų naudingai, jame turi būti naudojami autentifikavimo ir šifravimo mechanizmai. Akivaizdu, kad „Absolute Software“, populiarios programinės įrangos kūrėja, turėtų vartotojus informuoti, kaip išaktyvinti programą. Priešingu atveju jie taps kenkėjų, naudojančių silpnąsias vietas, taikiniu.“
Remiantis debesų paslaugos „Kaspersky Security Network“ duomenimis, programinis agentas „Absolute Computrace“ šiandien veikia apie 150 tūkst. vartotojų sistemose. Bendras vartotojų su aktyvintu agentu skaičius gali viršyti 2 mln., ir nežinoma, kiek jų žino apie šią savo konpiuteriuose įdiegtą programinę įrangą. Taip pat ekspertai nustatė, kad dauguma kompiuterių su aktyviai veikiančiu agentu „Absolute Computrace“ yra JAV ir Rusijoje.
Tinklinis protokolas „Computrance“ suteikia bazines nuotolinio kodo atlikimo galimybes. Jis nereikalauja naudoti jokių kriptografinių mechanizmų duomenims šifruoti arba nutolusiam serveriui tikrinti, o tai suteikia apgavikams galimybę vykdyti nuotolines atakas neapsaugotoje tinklo aplinkoje.
Šiuo metu nėra įrodymų, kad „Absolute Computrace“ naudojamas kaip atakų vykdymo platforma. Tačiau daugelio bendrovių ekspertai mato tokią galimybę – ir tai netiesiogiai patvirtinama šiuo momentu nepaaiškinamais neautorizuoto šios programos aktyvinimo atvejais.
Tuo tarpu dar 2009 m. „Core Security Technologies“ specialistai publikavo „Absolute Computrace“ programos tyrimus. Jie papasakojo apie joje taikomų technologijų pavojų ir apie tai, kaip apgavikai gali modifikuoti sistemos rejestrą siekdami perimti programos valdymą. Anksčiau įvairūs saugumo atžvilgiu dviprasmiški programinio agento „Absolute Computrace“ darbo mechanizmai priversdavo suveikti antivirusus. Remiantis tam tikromis ataskaitomis, „Microsoft“ saugos sprendimas kadaise klasifikavo „Absolute Computrace“ kaip „VirTool:Win32/BeeInject“. Tačiau vėliau „Microsoft“ ir kitos saugos produktus gaminančios bendrovės nebeskyrė šios programos agento kaip kenkėjiškos programinės įrangos. Šiuo metu vykdomieji failai „Absolute Computrace“ įtraukti į daugumos antivirusių bendrovių baltuosius sąrašus.
Išsamiai su tyrimo ataskaita apie programinio agento „Absolute Computrace“ darbo ypatumus galima susipažinti oficialiame analitiniame „Kaspersky Lab“ šaltinyje pagal nuorodą:
http://www.securelist.com/en/analysis/204792325/Absolute_Computrace_Revisited