Supply Chain Risk Dari Backdoor App Center Gigabyte

Belakangan ini, platform Eclypsium telah mendeteksi perilaku yang mencurigakan mirip backdoor dalam sistem-sistem Gigabyte yang beredar di luar sana. Deteksi ini didorong oleh metode deteksi heuristik, yang memainkan peran penting dalam mendeteksi ancaman rantai pasok baru yang sebelumnya tidak diketahui, di mana produk atau pembaruan teknologi pihak ketiga yang sah telah diretas.

Analisis lanjutan kami menemukan bahwa firmware dalam sistem-sistem Gigabyte menjalankan dan mengeksekusi file eksekusi Windows saat proses startup sistem, dan file tersebut kemudian mengunduh dan mengeksekusi payload tambahan secara tidak aman.

Hal ini menggunakan teknik yang sama dengan fitur mirip backdoor OEM lainnya seperti Computrace backdoor (juga dikenal sebagai LoJack DoubleAgent) yang disalahgunakan oleh pelaku ancaman dan bahkan firmware implant seperti Sednit LoJax, MosaicRegressor, Vector-EDK.

Analisis lebih lanjut menunjukkan bahwa kode yang sama ini ada dalam ratusan model PC Gigabyte. Kami sedang bekerja dengan Gigabyte untuk mengatasi implementasi yang tidak aman dari kemampuan pusat aplikasi mereka.

RISIKO DAN DAMPAK

Masalah ini mengekspos organisasi terhadap berbagai risiko dan skenario serangan:

Penyalahgunaan backdoor OEM oleh threat actor
Kompromi infrastruktur pembaruan OEM dan rantai pasokan
Persistensi menggunakan UEFI Rootkit dan Implan
Serangan MITM pada firmware dan fitur pembaruan perangkat lunak

REKOMENDASI

Berikut adalah daftar tindakan pencegahan yang disarankan untuk mengurangi risiko penggunaan sistem Gigabyte atau sistem dengan motherboard terkena dampak:

Pindai dan monitor sistem serta pembaruan firmware untuk mendeteksi sistem Gigabyte yang terkena dampak dan alat-alat serupa backdoor yang tertanam di dalam firmware. Perbarui sistem ke firmware dan perangkat lunak terbaru yang telah divalidasi untuk mengatasi masalah keamanan seperti ini.
Periksa dan nonaktifkan fitur “APP Center Download & Install” di UEFI/BIOS Setup pada sistem Gigabyte, serta atur kata sandi BIOS untuk mencegah perubahan yang berbahaya.
Administrator juga dapat memblokir URL berikut:

Harap diingat bahwa ini adalah tindakan pencegahan umum yang direkomendasikan. Penting untuk mengikuti petunjuk resmi yang diberikan oleh Gigabyte dan vendor perangkat keras lainnya untuk mengatasi masalah ini dengan benar. Selalu perbarui firmware dan perangkat lunak Anda dari sumber yang tepercaya, serta lakukan pemindaian keamanan secara berkala untuk mendeteksi ancaman potensial.

Selengkapnya: Eclypsium

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings