Компания ESET обнаружила вредоносную кампанию с использованием LoJax – первого известного руткита для Unified Extensible Firmware Interface (UEFI).
Руткиты UEFI – мощный инструмент для кибератак; их сложно обнаружить, и они сохраняют присутствие в системе даже после переустановки ОС или замены жесткого диска. Возможности этого вредоносного ПО ранее обсуждались на конференциях по информационной безопасности, но до настоящего момента ни одного UEFI-руткита не было обнаружено в реальных атаках.
ESET задокументировала первый случай успешного внедрения UEFI-руткита LoJax в скомпрометированной системе. По ряду признаков установлено, что атака выполнена АРТ-группой Sednit (APT28, Fancy Bear, Strontium или Sofacy) и нацелена на государственные учреждения на Балканах, в Центральной и Восточной Европе.
В основе руткита LoJax – троянизированная версия пользовательского агента легитимной программы LoJack от разработчика Absolute Software. LoJack – инструмент для защиты компьютера от потери или кражи. После активации программа обращается к своему командному серверу, и владелец будет уведомлен о местонахождении устройства. LoJack реализован как модуль UEFI/BIOS, благодаря чему способен пережить переустановку ОС или замену жесткого диска.
LoJax, вредоносный «близнец» легитимной программы, обладает такой же высокой устойчивостью в системе. После установки руткит выполняет в скомпрометированной системе одну цель – загружает вредоносные инструменты на выбор атакующих и контролирует их корректное выполнение.
Обнаружение LoJax доказывает, что этот тип вредоносного ПО представляет собой реальную, а не теоретическую угрозу. Кроме того, открытие является предупреждением для всех потенциальных целей Sednit – кибергруппа может быть еще опаснее, чем считалось прежде.
Более подробная информация об угрозе и индикаторы заражения – в блоге ESET.
_______________________________________________
ESET занимается разработками в области информационной безопасности. Компания изучает методы атак, их цели, вредоносные программы и уязвимости, чтобы обеспечить безопасность киберпространства и защитить пользователей. Кроме того, ESET помогает потенциальным жертвам усилить меры безопасности.
Исследование о LoJax содержит только информацию технического характера. Чтобы в этом убедиться, достаточно ознакомиться с отчетом. Он не содержит предположений о мотивах или государственной принадлежности кибергруппы Sednit.
Атрибуция атак – сложная задача, требующая сбора исчерпывающих доказательств. Делать выводы на основе косвенных признаков (которые часто подделывают, чтобы сбить со следа экспертов) или геополитической ситуации недопустимо. Любые выводы и интерпретации, сделанные на основе исследования ESET, являются точкой зрения их авторов и могут не совпадать с официальной позицией компании.
ESET подчеркивает, что некоторые предположения, опубликованные в российских и западных СМИ, не являются выводами исходного исследования.
Прежде всего радует появление новых бойцов. Тем более, что игра на стороне совершенно фантастических персонажей
Новый монитор PG27AQ от компании ASUS, который, если даже не особенно присматриваться, является родным «братом»
Приятной особенностью именно MyGica PT360, которой не могут похвастаться мобильные тюнеры других марок, стала
