«Мы ESET» – сообщество пользователей антивируса ESET NOD32. Мы живем в разных городах, общаемся с разными людьми, но всех нас объединяет надежная защита ESET.
4 октября 2018 4481

Реальная угроза. Хакеры впервые применили руткит для UEFI

ESET обнаружила вредоносную кампанию с использованием LoJax — первого известного руткита для UEFI (прим. ред. — узнать, что такое UEFI и в чем его отличия от BIOS, можно здесь).

Руткиты UEFI — мощный инструмент для кибератак; их сложно обнаружить, и они сохраняют присутствие в системе даже после переустановки ОС или замены жесткого диска. Возможности этого вредоносного ПО ранее обсуждались на конференциях по информационной безопасности, но до настоящего момента ни одного UEFI-руткита не было обнаружено в реальных атаках.

ESET задокументировала первый случай успешного внедрения UEFI-руткита LoJax в скомпрометированной системе. По ряду признаков установлено, что атака выполнена АРТ-группой Sednit (APT28, Fancy Bear, Strontium или Sofacy) и нацелена на государственные учреждения на Балканах, в Центральной и Восточной Европе.

В основе руткита LoJax — троянизированная версия пользовательского агента легитимной программы LoJack от разработчика Absolute Software. LoJack — инструмент для защиты компьютера от потери или кражи. После активации программа обращается к своему командному серверу, и владелец будет уведомлен о местонахождении устройства. LoJack реализован как модуль UEFI/BIOS, благодаря чему способен пережить переустановку ОС или замену жесткого диска.

LoJax, вредоносный «близнец» легитимной программы, обладает такой же высокой устойчивостью в системе. После установки руткит выполняет в скомпрометированной системе одну цель — загружает вредоносные инструменты на выбор атакующих и контролирует их корректное выполнение.

Обнаружение LoJax доказывает, что этот тип вредоносного ПО представляет собой реальную, а не теоретическую угрозу. Кроме того, открытие является предупреждением для всех потенциальных целей Sednit — кибергруппа может быть еще опаснее, чем считалось прежде.

Более подробная информация об угрозе и индикаторы заражения — в блоге ESET

Комментарии

3
Оставьте комментарий!
Павел Горбачев 13 октября 2018 в 10:07 #
Когда только анонсироваи UEFI, специалисты сразу сказали, что это само по себе мощный "зонд", а в случае компроментации, ещё и крепкий инструмент для злоумышленников.
Страшно представить, что будет, если будут "заражены" банковские компьютеры.
И ждём UEFI-2 "с красной крышечкой!" (с)
Антон Тарасов 15 октября 2018 в 13:30 #
У ESET NOD32 есть модуль "Сканер UEFI" 7
Евгений Сухоносенко 14 октября 2018 в 11:02 #
Достаточно ставить пароль в bios, и ни одна сволочь его не изменит (без вас)!