Эксперты Eclypsium (сфера – безопасность прошивок и оборудования) предупредили, что порядка сотни системных плат Gigabyte еще на этапе производства получают встроенный бэкдор, который может представлять серьезную опасность.
Утверждение о наличии данного модуля основано на сторонней активности, на которое реагирует система предупреждений Eclypsium. Дальнейший анализ показал, что прошивка многих плат Gigabyte содержит бинарный файл, который автоматически запускается при старте Windows. После активации данный файл обращается на сервер компании для загрузки и запуска другого файла.
Эксперты признали, что нет явных доказательств, что бэкдор используется для вредоносных целей, а сама активность связана с сервисом Gigabyte App Center. Однако для связи с сервером и загрузки файла используется небезопасное подключение, при этом легитимность полученного файла не проверяется.
Также нет гарантии, что вредоносный код не был внедрен в прошивку в результате целенаправленной атаки или на одном из этапов поставки на рынок.
Даже если это легитимный модуль, его слабую защищенность могут использовать злоумышленники. Атаки данного типа используются довольно часто – полезная нагрузка подменяется вредоносный файлом, который после загрузки заражает систему.
В отчете также отмечается, что специалисты уже сотрудничают с Gigabyte для решения проблемы. Однако официальных комментариев от производителя материнских плат пока не поступало.