CIA hack sızıntısından sonra Intel Security, sistem seviyesindeki açıklara karşı bir kontrol aracı yayınladı.
Intel Security, kullanıcıların bilgisayarlarının düşük seviyeli sistem yazılımının değiştirilmiş olup olmadığını ve yetkisiz kod içerdiğini kontrol etmesini sağlayan bir araç yayınladı.
Salı sızdırılan CIA belgelerinin ardından ajansın Apple’ın Macbook’ları için EFI (Extensible Firmware Interface) root araçları geliştirdiğinin ortaya çıkması üzerine bu araç yayınlandı. Bir rootkit, genellikle sistemin en temel seviyesinde, yüksek ayrıcalıklarla çalışan ve diğer kötü amaçlı bileşenlerin ve etkinliklerin varlığını gizleyen kötü amaçlı bir programdır.
CIA’den sızdırılan belgeler, DerStarke adı verilen yazılımın, Bokor olarak adlandırılan bir çekirdek kod enjeksiyon modülünden üretildiğini ve DarkMatter adlı bir EFI modülü yazılımıyla OS X sistemleri hedeflediğini açıklıyor.
UEFI (Unified EFI) olarak da bilinen EFI, işletim sistemi öncesinde çalışan ve sistem önyükleme işlemi sırasında çeşitli donanım bileşenlerini başlatan düşük seviye bir yazılımdır. Modern bilgisayarlarda eski BIOS’un yerini almış ve bir mini işletim sistemi gibi çalışır. EFI farklı işlevler için yüzlerce “program” içeriyor olabilir.
EFI içinde gizlenmiş kötü amaçlı bir program, işletim sistemi çekirdeğine zararlı kodları ekleyebilir ve bilgisayardan kaldırılmış tüm zararlı yazılımları eski haline getirebilir. Bu, rootkitlerin (hack yöntemleri ile sistemi ele geçiren kodlar) büyük sistem güncellemelerinden ve hatta yeniden yüklemelerden kurtulmalarını sağlar.
Intel Security Gelişmiş Tehdit Araştırma ekibi, sahte EFI dosyalarını tespit etmek için CHIPSEC adında yeni bir araç yarattı. CHIPSEC, bir sistemin donanım, ürün yazılımı ve platform bileşenlerini analiz etmek için düşük düzeyli arabirimler kullanan bir dizi komut satırı aracından oluşuyor. Windows, Linux, MacOS ve hatta bir EFI içinde çalıştırılabiliyor.
