Първият UEFI руткит, използван в кибер атака, е засечен от анализаторите на компанията за киберсигунрост ESET.
Зловредният код е използван от руската хакерска група Sednit за придобиване на контрол върху компютри от държавни институции в Централна и Източна Европа. Няма информация дали България е сред засегнатите от атаката държави.
Вижте пълната публикация в блога на ESET >>
Какво е UEFI?
UEFI е спецификация за софтуерен интерфейс между операционната система и хардуера. UEFI заменя вече остарялата технология BIOS.
Досега се предполагаше, че със зловредни кодове, които експлоатират UEFI, разполагат единствено някои държавни агенции за сигурност. Според ESET това е първият случай, в който организирана хакерска група злоупотребява с такъв руткит.
Защо LoJax e опасен?
LoJax е особено опасен, тъй като може да прескача някои традиционни защитни мерки като преинсталиране на операционната система или смяна на твърдия диск. Друг проблем е, че се открива трудно, защото повечето антивирусни програми не сканират UEFI.
“Вече няма причина да не сканирате фърмуеъра на компютъра си. Да, атаките срещу UEFI са изключително редки, и до този момент бяха възможни при физически достъп до компютъра. Но ако една таква атака се осъществи, тя ще доведе до пълен контрол над устройството”, коментира Жан-Ян Бутин, анализатор в ESET.
Как да се защитите от LoJax?
Защитата от LoJax, както всъщност и всеки зловреден код, манипулиращ UEFI или фърмуеър, е трудна задача. Все пак от ESET предлагат няколко възможности за действие:
- Активирайте Secure Boot от настройките на UEFI;
- Ако атаката вече е осъществена може да се подмени дънната платка на инфектираното устройство. Алтернативата е да се подмени фирмуеъра на SPI флаш паметта, но това е сложна процедура, която не е по силите на обикновения потребител;
- Използвайте приложения за защита, които сканират и UEFI (например, ESET Endpoint Security)
Кой е автор на атаката
Според ESET най-вероятният извършител е хакерската група Sednit, за която се предполага, че имa връзки с руското разузнаване. Известна още като APT28, STRONTIUM, Sofacy или Fancy Bear, тя често е посочвана като извършител на известни в медиите атаки като хакването на френската телевизиознна група TV5Monde или публикуването в интернет на имейли от Световната антидопингова агенция.
Според информация на “Капитал” Sednit е сочена като вероятен извършител на DDoS атаката срещу сайта на Централна избирателна комисия през ноември 2015 г.