监视软件制造商Hacking Team向政府客户提供了一种能力，可以感染他们想要监视的笔记本电脑和其他电脑上发现的低级固件。

该公司开发了一种工具，可以用来修改计算机的UEFI(统一可扩展固件接口)，这样即使硬盘被清除或更换，它也能悄无声息地重新安装监视工具。

UEFI是传统BIOS(基本输入/输出系统)的替代品，旨在通过参考规范对现代计算机固件进行标准化。但是有很多公司在开发UEFI固件，而且PC制造商使用的实现可能有很大的不同。

反病毒软件供应商趋势科技(Trend Micro)的安全研究人员表示，黑客团队开发了一种方法，可以感染由Insyde Software开发的UEFI固件。这家台湾公司的客户包括惠普(Hewlett-Packard)、戴尔(Dell)、联想(Lenovo)、宏碁(Acer)和东芝(Toshiba)。

趋势科技的研究人员在一篇博文中说:“然而，这些代码很可能也适用于AMI BIOS。”AMI BIOS指的是由美国Megatrends开发的固件，后者是BIOS市场的长期领导者。

近日，一名黑客从位于米兰的黑客团队中泄露了价值超过400GB的文件和电子邮件，趋势科技在这些文件和电子邮件中发现了关于UEFI rootkit的细节。在过去的一周里，安全研究人员和记者们一直在筛选数据，发现恶意软件源代码、客户名单、漏洞漏洞漏洞以及更多信息。

趋势科技的研究人员表示，一个黑客团队的幻灯片演示表明，安装UEFI rootkit需要访问目标计算机，但不能排除远程安装的可能性。

对政府机构来说，获得对某些电脑的临时物理访问权限不会是个大问题，因为许多国家都有法律允许在其边境检查笔记本电脑和其他设备。

黑客团队称其监控软件为“政府拦截黑客套件”，并声称只向政府机构出售。即便如此，大多数杀毒软件供应商还是将这种高度侵入性的软件(即远程控制系统(RCS)或Galileo))检测为恶意软件。

Trend Micro的研究人员表示，为了安装RCS UEFI rootkit，攻击者必须重新启动系统，进入UEFI外壳，提取固件，将rootkit写入转储后的图像，然后再将其闪回系统。

rootkit本身有三个模块:一个用于读取和写入NTFS文件系统;一个用于连接操作系统启动进程;一个是检查系统上是否有RCS。

每次系统重启时，rootkit都会检查是否存在两个名为scout.exe和soldier.exe的软件代理。Trend Micro的研究人员说，如果没有scout.exe，它会把它安装在操作系统内部的一个预定义位置。

在过去几年的安全会议上，许多研究人员已经证明了在计算机的BIOS或UEFI固件中安装rootkit的可能性。然而，在野外使用这种rootkit的情况非常罕见。

通过对黑客团队泄露的电子邮件通信的搜索发现，该公司的工程师密切关注着自2009年以来撰写的有关BIOS和UEFI黑客的每一篇文章和研究论文。这其中包括有关破解BIOS密码的博客文章、有关破解签名BIOS执行的论文以及有关美国国家安全局BIOS感染能力的泄露文件。

这些邮件还显示，该公司的研发团队至少从2014年年中就开始致力于“持续性UEFI感染”功能。9月9日，德国INTECH-Solutions公司的一名客户已经询问了一份持久感染功能的电脑清单。

“我们很抱歉，我们没有一份持续感染UEFI的电脑模型清单，”黑客团队的一名员工回应道。“我们测试了最后一个系列的宏碁与UEFI开机。我们正在努力支持华硕等其他型号，但目前我们无法向你提供发布日期。”

去年12月，Hacking Team的运营经理达尼埃尔•米兰(Daniele Milan)要求一名高级安全工程师澄清这一功能，以便回答潜在的客户咨询。

工程师回答说，这一功能已经在Dell Latitude 6320、Dell Precision T1600、Asus X550C和Asus F550C上成功测试。它也适用于东芝(Toshiba)的Satellite C50和宏碁(Acer)的Aspire E1-570，但故障风险更高。

这位工程师说，原则上，这款软件适用于所有64位CPU架构的笔记本电脑、工作站和服务器，支持Windows 7和Windows 8 Pro。

在后来的一封邮件中，他提到“chiavetta”也可以在戴尔的服务器上使用。Chiavetta在意大利语中是钥匙的意思，但它也被广泛用于指USB u盘，暗示了如何部署UEFI rootkit。

为了防止此类感染，Trend Micro建议用户启用UEFI SecureFlash选项，设置BIOS/UEFI密码，并将固件更新到最新版本，以便安装最新的安全补丁。UEFI/BIOS更新通常由计算机制造商通过其支持网站发布，其中一些更新修复了安全研究人员发现的问题。