Някои от сървърите, обслужващи LoJax, все още са онлайн
Месеци, след като стана известен в медиите, руткитът все още е активен
Поне два от сървърите, с които комуникира руткитът LoJax, все още са онлайн. Това показват резултатите от проучване на Netscout. Те подсказват, че малуерът все още е активен и би могъл да се използва при бъдещи атаки.
LoJax получи значително отразяване в медиите през септември 2018 г. Тогава компанията за информационна сигурност ESET публикува доказателства, че руткитът е използван в организирана атака срещу държавни институции в Източна Европа.
От Netscout отбелязват, че месеци по-късно два от командните сървъри, с които LoJax комуникира, все още са онлайн. Те са били използвани и по време на атаката, за която съобщи ESET през септември.
„Въпреки цялото медийно внимание към LoJax, неговите собственици Fancy Bear все още не са свалили командните му сървъри. Тези сървъри имат дълъг живот и организациите трябва да предприемат защитни мерки срещу тях“, коментират от Netscout.
Fancy Bear, позната още като Sednit или APT28, се счита за свързана с руското правителство хакерска група и автор на руткита.
LoJax е първият известен случай на руткит, използван в организирана хакерска атака. Той атакува UEFI (наследник на BIOS) на съвременните компютри. Досега се предполагаше, че със зловредни кодове, които експлоатират UEFI, разполагат единствено някои държавни агенции за сигурност.
LoJax се отличава с това, че оцелява след превантивни мерки като преинсталация на операционната система или смяна на твърдия диск. Името на руткита идва от LoJack – софтуер против кражба на лаптопи, заради който производителите на компютри инсталират в продуктите си определени файлове, които комуникират с UEFI. Именно от тези преконфигурирани файлове се възползва LoJax, за да функционира.