LoJax, jeden z prvních škodlivých kódů, který infikuje UEFI
Malware útočí na evropské vládní instituce. Tvůrci se zřejmě inspirovali anti-theft softwarem LoJack.
Bezpečnostní společnost Eset objevila a analyzovala malware LoJax, zřejmě první škodlivý kód, který infikuje UEFI, tedy moderní náhradu BIOSu v dnešních počítačích. Na základě více znaků se analytici domnívají, že za škodlivým kódem je skupina Sednit (jiné názvy: APT28, STRONTIUM, Sofacy či Fancy Bear).
Tato skupina stojí podle amerického ministerstva spravedlnosti např. za útoky před americkými prezidentskými volbami v roce 2016. V tomto aktuálním případě skupina útočila na vládní instituce ve státech střední a východní Evropy. Jedná se o jednu z nejaktivnějších kyberkriminálních skupin, která je aktivní již od roku 2004.
UEFI hrozby jsou nebezpečné v tom smyslu, že slouží jako klíč k celému počítači, jsou obtížně detekovatelné a zůstávají v systému i po reinstalaci operačního systému či výměně pevného disku. Pokud chceme infikovaný systém UEFI rootkitu zbavit, vyžaduje to znalosti nad rámec běžného i pokročilého uživatele.
„Způsob, jakým se tento rootkit dostal do napadených zařízení, zatím stále ještě zjišťujeme,“ uvedl Jean-Ian Boutin, bezpečnostní analytik společnosti Eset, který vedl výzkum této hrozby.
Tvůrci hrozby se pravděpodobně inspirovali anti-theft softwarem LoJack (odtud pojmenování hrozby). Legitimní LoJack slouží na vyhledávání ztracených či ukradených počítačů. Z toho důvodu je velmi specifický v tom smyslu, že musí odolat snaze zloděje, který může po krádeži provést reinstalaci operačního systému či výměnu pevného disku. Legitimní LoJack je předinstalovaný ve firmwaru velkého množství notebooků od různých výrobců a čeká na moment, kdy ho uživatel vzdáleně aktivuje.
Kompletní analýza škodlivého kódu LoJax je zveřejněna ve studii „LoJax: First UEFI rootkit found in the wild, courtesy of the Sednit group”.
