Στον σύγχρονο ψηφιακό κόσμο, οι παραδοσιακές μέθοδοι προστασίας των συστημάτων υπολογιστών – όπως τα antivirus και τα συστήματα ανίχνευσης εισβολών – εστιάζουν κυρίως σε λογισμικό επιπέδου λειτουργικού συστήματος. Ωστόσο, μια πιο επικίνδυνη και δύσκολα εντοπίσιμη απειλή προέρχεται από επιθέσεις που στοχεύουν το firmware των συσκευών, όπως το BIOS (Basic Input Output System) και το UEFI (Unified Extensible Firmware Interface), αλλά και από rootkits που λειτουργούν σε πολύ χαμηλό επίπεδο. Αυτές οι επιθέσεις, επειδή «κατοικούν» σε πολύ βασικά και θεμελιώδη επίπεδα του υπολογιστικού περιβάλλοντος, παραμένουν σχεδόν αόρατες και συχνά αδύνατο να αφαιρεθούν χωρίς εξειδικευμένα εργαλεία. Το firmware είναι το λογισμικό που βρίσκεται ενσωματωμένο σε υλικό (hardware), και συγκεκριμένα στο BIOS ή UEFI ενός υπολογιστή. Είναι το πρώτο κομμάτι κώδικα που εκτελείται κατά την εκκίνηση του συστήματος και είναι υπεύθυνο για τη βασική αρχικοποίηση των συσκευών και τη φόρτωση του λειτουργικού συστήματος (Khan et al., 2020).Το BIOS/UEFI ελέγχει άμεσα το hardware, και οποιαδήποτε αλλαγή ή παραβίαση σε αυτό το επίπεδο μπορεί να επηρεάσει ολόκληρο το σύστημα σε βάθος. Η δυσκολία εντοπισμού κακόβουλου λογισμικού στο firmware οφείλεται στην ανεξαρτησία του από το λειτουργικό σύστημα και στα περιορισμένα εργαλεία ανίχνευσης. Οι επιθέσεις στο BIOS/UEFI επιδιώκουν να μολύνουν το firmware ώστε να αποκτήσουν μόνιμη παρουσία στο σύστημα (persistent threat), που δεν εξαφανίζεται με τυπικές μεθόδους καθαρισμού ή επανεγκατάστασης λειτουργικού συστήματος (Yadav et al., 2019). Τα malware που στοχεύουν στο BIOS/UEFI μπορούν να παρακάμψουν όλα τα συστήματα ασφαλείας που βασίζονται σε λογισμικό.
Παράδειγμα τέτοιων επιθέσεων είναι το γνωστό rootkit LoJax, που προσβάλλει το UEFI και έχει ανιχνευθεί σε επιθέσεις στοχευμένες σε κυβερνητικούς φορείς (Costin et al., 2018).
Rootkits
Rootkits είναι κακόβουλα προγράμματα σχεδιασμένα να αποκρύπτουν την παρουσία άλλων malware και να δίνουν στον επιτιθέμενο πλήρη έλεγχο του συστήματος. Όταν το rootkit λειτουργεί σε επίπεδο firmware (π.χ. UEFI rootkits), το καθιστά πολύ πιο δύσκολο να εντοπιστεί, καθώς «ζει» πριν το λειτουργικό σύστημα και μπορεί να παρακολουθεί ή να τροποποιεί οποιαδήποτε ενέργεια (Azab et al., 2014).
Γιατί είναι δύσκολο να εντοπιστούν και να αφαιρεθούν
- Προσπέλαση πριν το OS: Το firmware εκτελείται πριν το λειτουργικό σύστημα και οποιοδήποτε antivirus, δίνοντας τη δυνατότητα στα malware να ενεργούν χωρίς να ανιχνεύονται.
- Μόνιμη παρουσία: Ακόμα και με πλήρη επανεγκατάσταση λειτουργικού, το κακόβουλο λογισμικό στο firmware παραμένει, καθώς βρίσκεται σε μη πτητικό αποθηκευτικό μέσο.
- Περιορισμένα εργαλεία ανίχνευσης: Τα τυπικά antivirus δεν ελέγχουν το firmware. Η ανίχνευση απαιτεί εξειδικευμένα εργαλεία και τεχνικές, όπως hardware debugging και σύγκριση checksum firmware images.
- Πολυπλοκότητα και κλειστός κώδικας: Το firmware είναι συχνά κλειστού κώδικα και διαφοροποιείται ανά κατασκευαστή, δυσκολεύοντας τη δημιουργία γενικών εργαλείων ανίχνευσης.
Οι επιθέσεις σε επίπεδο firmware, όπως στο BIOS/UEFI, και τα rootkits που λειτουργούν σε τόσο χαμηλό επίπεδο αποτελούν μια από τις πιο ύπουλες και δύσκολα αντιμετωπίσιμες απειλές στον χώρο της κυβερνοασφάλειας. Η δυσκολία ανίχνευσης και αφαίρεσης τέτοιων κακόβουλων κωδίκων απαιτεί την ανάπτυξη νέων τεχνολογιών προστασίας, καθώς και τη χρήση εξειδικευμένων εργαλείων ελέγχου και ανάλυσης firmware. Η ασφάλεια των συστημάτων δεν μπορεί να περιορίζεται μόνο στο λειτουργικό επίπεδο, αλλά πρέπει να επεκτείνεται σε όλα τα επίπεδα, ξεκινώντας από το firmware, που είναι η βάση κάθε ψηφιακής υποδομής.
