A kutatás fókuszában az Absolute Computrace nevű ügynökprogramja állt, amely laptopok és asztali gépek firmware-ében, a PC ROM BIOS-ban kapott helyet.
A kutatás fő oka az volt, hogy felfedezték: a kutatók több magánhasználatú számítógépén és vállalati gépeken előzetes engedélyezés nélkül fut a Computrace ügynökprogramja. Bár a Computrace az Absolute Software által kifejlesztett legális termék, néhány felhasználó állította, hogy soha nem telepítette, illetve aktiválta azt, és nem is tudott arról, hogy a szoftver a számítógépén található. A legtöbb hagyományos, előre telepített szoftver véglegesen eltávolítható vagy kikapcsolható a felhasználó által, azonban a Computrace-t úgy tervezték, hogy túlélje a professzionális rendszertisztítást, sőt még a merevlemez cseréjét is.
Tévesen rosszindulatú szoftverként azonosíthatják a Computrace-t a felhasználók, mivel sok, a malware-ek esetében elterjedt trükköt alkalmaz. Ezek között megtalálhatók a visszafejtés elleni védelmi technikák, a más folyamatok memóriájába való injektálás, a titkos kommunikáció, a rendszerfájlok módosítása a lemezen, a titkosított konfigurációs fájlok és a végrehajtható Windows állományok futtatása közvetlenül a BIOS/firmware-ből.
Fejlett technológiákat alkalmazó hackerek képesek lehetnek átvenni az ellenőrzést az Absolute Computrace-t futtató számítógépek felett. Ez a szoftver kémprogram telepítésére használható, - figyelmeztet a veszélyre Vitaly Kamluk, a Kaspersky Lab globális kutató és elemző csapatának vezető biztonsági kutatója. - Becsléseink szerint több millió számítógépen fut az Absolute Computrace szoftver, és nagyszámú felhasználó valószínűleg nincs tudatában annak, hogy ez a program működik a gépén. Ki aktiválta a Computrace-t ezeken a számítógépeken? Vajon figyeli a szoftver működését egy ismeretlen szereplő? Ez rejtély, amely megoldásra vár.
Mindenesetre a Kaspersky biztonsági hálózata szerint megközelítőleg 150 ezer felhasználó futtatja számítógépén a Computrace ügynököt. Az aktivált Computrace ügynökkel rendelkező felhasználók teljes száma meghaladhatja a 2 milliót. Nem ismert, hogy ezen felhasználók közül hányan tudnak arról, hogy a Computrace fut a rendszerükön. Az érintett számítógépek többsége az Egyesült Államokban és Oroszországban található.
Mit művel a Computrace Small Agent? Az általa használt hálózati protokoll lehetővé teszi a távolról történő kódvégrehajtást. A protokoll nem igényel semmilyen titkosítást vagy hitelesítést a távoli szervertől, ami sokféle lehetőséget kínál a távolról történő támadásokhoz egy ellenséges hálózati környezetben.
Nincs bizonyíték, hogy az Absolute Computrace-t jelenleg támadási platformként használnák. Azonban több vállalat szakértője szerint fennáll a támadás lehetősége, és néhányuk szerint az engedélykérés nélküli Computrace aktiválások megmagyarázatlan ténye miatt ennek a bekövetkezése egyre reálisabbnak tűnik.
Még 2009-ben a Core Security Technologies kutatói közzétették megállapításaikat az Absolute Computrace-ről. A szakértők figyelmeztettek a technológia veszélyeire, és megmutatták, hogy egy támadó hogyan tudja módosítani a regisztrációs adatbázist a Computrace kommunikációjának eltérítésére. A Computrace ügynök agresszív viselkedése volt az oka annak, hogy régebben rosszindulatú programként azonosították azt. Néhány jelentés szerint a Microsoft a Computrace-t VirTool:Win32/BeeInject-ként azonosította. Mindazonáltal a rosszindulatú minősítést később visszavonta a Microsoft és néhány biztonsági cég is. A Computrace végrehajtható állományai jelenleg a vírusellenes termékeket gyártó cégek fehérlistáján vannak.
Az Absolute Computrace ügynök működésének részletes leírását tartalmazó teljes jelentés itt olvasható.
Megoldásra váró rejtély, hogy került annyi PC-re és laptopra, ki és miért figyeli e készülékek szoftvereinek működését. A Kaspersky Lab biztonsági kutató csapatának most közzétett jelentése megerősíti – és demonstrálja –, hogy az Absolute Software által forgalmazott lopás elleni szoftver gyenge megvalósítása miatt egy hasznos védelmi segédprogramból a kiberbűnözők hatékony segédprogramjává válhat. A nem megfelelő kivitelezés lehetővé teszi a támadók számára, hogy rejtett módon teljes hozzáférést szerezzenek több millió felhasználó számítógépéhez.
