Hacking Team использовали руткит для BIOS UEFI для установки Galileo на целевую систему

Специалисты продолжают анализировать документы и файлы итальянской компании Hacking Team, попавшие в открытый доступ. Компания разрабатывала довольно продвинутое шпионское ПО. В частности, в их арсенале обнаружен UEFI BIOS руткит, который сохранял контроль над компьютером для агента Remote Control System (RCS). Например, в случае смены HDD или переустановки ОС агент успешно восстанавливается и продолжает работу. Из этого следует, что даже если пользователь переустановит операционную систему, отформатирует жесткий диск или заменит его новым, Remote Control System все равно будет установлен после запуска Microsoft Windows.

Сотрудники Trend Micro сообщают, что процедура прописана конкретно для Insyde BIOS (популярный BIOS на ноутбуках). Однако код должен работать и на AMI BIOS. В презентации Hacking Team сказано, что для заражения требуется физический доступ к компьютеру и перепрошивка BIOS в ручном режиме, но специалисты Trend Micro не исключают возможность удаленной установки. Hacking Team даже предоставляла своим клиентам техническую поддержку в случаях, если BIOS жертвы не совместим с руткитом.

Во время инсталляции с флешки или другого внешнего источника копируется три файла. Файл dropper.mod содержит действующих агентов, которые называются scout.exe и soldier.exe. После установки руткита он каждый раз при загрузке системы проверяет наличие агентов. Наличие файла soldier.exe тоже проверяется, но он по какой-то причине не перезаписывается заново.