Компания ESET обнаружила вредоносную кампанию с использованием LoJax – первого известного руткита для Unified Extensible Firmware Interface (UEFI).
Руткиты UEFI – мощный инструмент для кибератак; их сложно обнаружить, и они сохраняют присутствие в системе даже после переустановки ОС или замены жесткого диска. Возможности этого вредоносного ПО ранее обсуждались на конференциях по информационной безопасности, но до настоящего момента ни одного UEFI-руткита не было обнаружено в реальных атаках.
ESET задокументировала первый случай успешного внедрения UEFI-руткита LoJax в скомпрометированной системе. По ряду признаков установлено, что атака выполнена АРТ-группой Sednit (APT28, Fancy Bear, Strontium или Sofacy) и нацелена на государственные учреждения на Балканах, в Центральной и Восточной Европе.
В основе руткита LoJax – троянизированная версия пользовательского агента легитимной программы LoJack от разработчика Absolute Software. LoJack – инструмент для защиты компьютера от потери или кражи. После активации программа обращается к своему командному серверу, и владелец будет уведомлен о местонахождении устройства. LoJack реализован как модуль UEFI/BIOS, благодаря чему способен пережить переустановку ОС или замену жесткого диска.
LoJax, вредоносный «близнец» легитимной программы, обладает такой же высокой устойчивостью в системе. После установки руткит выполняет в скомпрометированной системе одну цель – загружает вредоносные инструменты на выбор атакующих и контролирует их корректное выполнение.
Обнаружение LoJax доказывает, что этот тип вредоносного ПО представляет собой реальную, а не теоретическую угрозу. Кроме того, открытие является предупреждением для всех потенциальных целей Sednit – кибергруппа может быть еще опаснее, чем считалось прежде.
Более подробная информация об угрозе и индикаторы заражения – в блоге ESET.
_______________________________________________
ESET занимается разработками в области информационной безопасности. Компания изучает методы атак, их цели, вредоносные программы и уязвимости, чтобы обеспечить безопасность киберпространства и защитить пользователей. Кроме того, ESET помогает потенциальным жертвам усилить меры безопасности.
Исследование о LoJax содержит только информацию технического характера. Чтобы в этом убедиться, достаточно ознакомиться с отчетом. Он не содержит предположений о мотивах или государственной принадлежности кибергруппы Sednit.
Атрибуция атак – сложная задача, требующая сбора исчерпывающих доказательств. Делать выводы на основе косвенных признаков (которые часто подделывают, чтобы сбить со следа экспертов) или геополитической ситуации недопустимо. Любые выводы и интерпретации, сделанные на основе исследования ESET, являются точкой зрения их авторов и могут не совпадать с официальной позицией компании.
ESET подчеркивает, что некоторые предположения, опубликованные в российских и западных СМИ, не являются выводами исходного исследования.
Все знают, что FM-радио обладает потрясающими преимуществами: оно бесплатное, не требует загрузки ваших личных данных,
Игра HellFire Zone выпущена фирмой Panoramic Software довольно давно, но не получила большой популярности. Может,
За сумму немногим более 110 у.е. вы получаете практически полнофункциональный планшетный компьютер средней
