קספרסקי מתריעה על תוכנה נסתרת המושתלת בניידים נפוצים

על פי דוח שפירסם צוות מחקר אבטחת המידע של קספרסקי, בלמעלה מ- 2 מיליון מחשבים ניידים בעולם, צרובה אל תוכנה החומרה תוכנה נסתרת שעלולה להוות פתח להשתלטות עוינת על המחשב. הצוות של קפסרסקי מעלה תהיות לגבי המטרה לשמה מותקנת תוכנה נסתרת, ללא אישור או יידוע של המשתמשים, וכמובן של מי האינטרס להתקנה זו.  התוכנה המדוברת היא תוכנת הסוכן של Absolute Computrace המוטמעת בחומרה, או ב- PC ROM BIOS של מחשבים ניידים ומחשבים נייחים. על פי רשת אבטחת המידע של קספרסקי, ישנם 150 אלף משתמשים בעלי מחשב המריץ את הסוכן של Computrace, ורובם נמצאים בארה"ב ורוסיה. בישראל אותר מספר נמוך של משתמשים בעלי תוכנה פעילה, המוערך בפחות מ- 670. 

"שחקנים עוצמתיים עם היכולת להתחבר לסיבים אופטיים יהיו מסוגלים לפרוץ למחשבים המריצים את Absolute Computrace. ניתן להשתמש בתוכנה כדי להפעיל קוד זדוני מושתל", מתריע ויטאלי קמלוק, חוקר ראשי בצוות מחקר וניתוח בינלאומי במעבדת קספרסקי. "על פי הערכות שלנו, כמיליון מחשבים מריצים את תוכנת Absolute Computrace, וסביר להניח כי מספר גדול של משתמשים אינו מודע לכך שהתוכנה פועלת במחשביהם. למי יש סיבה להפעיל את התוכנה בכל המחשבים האלה? האם הם מנוטרים על ידי שחקן בלתי ידוע? זו תעלומה שצריך לפתור."

המחשב שהתחיל את החקירה

 פרוטוקול הרשת אשר משמש את הסוכן של Computrace מספק מאפיינים בסיסיים להרצת קוד מרחוק. הפרוטוקול אינו דורש שימוש בשום הצפנה או אימות של השרת המרוחק, דבר היוצר הזדמנויות להתקפות מרוחקות בסביבה של רשת עוינת.  

לא קיימת הוכחה כי Absolute Computrace משמשת כפלטפורמה להתקפה. למרות זאת, מומחים ממספר חברות מזהים אפשרות להתקפה. מספר עובדות שסיבתן אינה מובנת, אודות הפעילות הבלתי מורשה של התוכנה הופכות את האפשרות הזו לסבירה יותר.

משתמש יכול לזהות את Computrace כתוכנה זדונית, מאחר והיא משתמשת בשיטות רבות המשמשות גם קוד זדוני מודרני: חסימת debug וטכניקות נגד הנדסה הפוכה, הזרקה לתוך הזיכרון של תהליכים אחרים, יצירת תקשורת סודית, עדכון קבצי מערכת על הדיסק, שמירה של קבצי הגדרות מוצפנים, והפלת קבצי הפעלת חלונות ישירות מה- BIOS או החומרה. 

 בשנת 2009, חוקרים של חברת Core Security הציגו את הממצאים שלהם אודות Absolute Computrace. החוקרים התריאו אודות הסכנות שטכנולוגיה זו מציבה, והציגו כיצד תוקף יכול לשנות את הרג'יסטרי של המערכת כדי לחטוף את התקשורת החוזרת מ- Computrace. התנהגות אגרסיבית של הסוכן הייתה הסיבה בגללה הוא זוהה בעבר כתוכנה זדונית. על פי דיווחים מסויימים, Computrace זוהתה על ידי מיקרוסופט כ- VirTool:Win32/BeeInject. בהמשך, הזיהוי הוסר על ידי מיקרוסופט וחלק מספקי האנטי וירוס. קבצי ההפעלה של Computrace נמצאים כרגע ברשימות הלבנות של רוב ספקי האנטי וירוס.

 "כלי עוצמתי כל כך כמו Absolute Computrace, חייב לכלול מנגנונים לאימות והצפנה כדי להמשיך ולשרת בצורה טובה. ברור כי אם ישנם מחשבים רבים עליהם פועל סוכן התוכנה, זו אחריות היצרן (במקרה זה Absolute Software) להודיע למשתמשים ולהסביר כיצד ניתן לבטל ולהסיר את התוכנה", הוסיף קמלוק. "אחרת, הסוכנים היתומים האלו ימשיכו לפעול ללא בקרה ויספקו אפשרויות לניצול לרעה".

פילוג תוכנות Computrace הפעילות על פי יצרני המחשבים: