黑客团队间谍软件预装了UEFI BIOS Rootkit以隐藏自己

黑客小组，并泄露了大量400GB的内部数据，包括：

黑客团队以其先进和复杂而闻名远程控制系统（RCS）间谍软件，也称为伽利略，它装载了大量零日攻击，并能够远程监控目标的计算机。

如今，趋势科技安全研究人员发现黑客团队使用UEFI（统一可扩展固件接口）BIOS Rootkit将远程控制系统（RCS）代理安装在目标系统中."

这显然意味着，即使用户重新安装操作系统、格式化硬盘，甚至购买新硬盘，这些代理也会在Microsoft Windows启动并运行后植入。

据研究人员称，黑客团队的rootkit恶意软件只能针对大多数电脑和笔记本电脑制造商使用的Insyde和AMI供应商开发的UEFI BIOS系统。

然而，目前研究人员还不确定恶意软件是否可以在没有物理访问目标机器的情况下完成rootkit安装，因为安装需要BIOS刷新过程，如果不将其重新引导到机器的UEFI（统一可扩展固件接口）外壳中，就无法完成。

Trend Micro研究人员进行的BIOS rootkit分析之所以成为可能，是因为间谍软件源代码泄露黑客团队中的在线数据转储。

到目前为止，已经从黑客团队泄露的文件中发现了三个Adobe Flash零日漏洞和一个Android零日漏洞攻击，不过这个BIOS rootkit更能说明团队的活动。

目前尚不清楚受影响的受害者。然而，为了确保自己的安全，我们建议您始终保持BIOS最新，并通过启用密码进行保护。此外，请确保启用UEFI SecureFlash。