LoJax

  • Някои от сървърите, обслужващи LoJax, все още са онлайн

    Поне два от сървърите, с които комуникира руткитът LoJax, все още са онлайн. Това показват резултатите от проучване на Netscout. Те подсказват, че малуерът все още е активен и би могъл да се използва при бъдещи атаки.

    LoJax получи значително отразяване в медиите през септември 2018 г. Тогава компанията за информационна сигурност ESET публикува доказателства, че руткитът е използван в организирана атака срещу държавни институции в Източна Европа.

    От Netscout отбелязват, че месеци по-късно два от командните сървъри, с които LoJax комуникира, все още са онлайн. Те са били използвани и по време на атаката, за която съобщи ESET през септември.

    „Въпреки цялото медийно внимание към LoJax, неговите собственици Fancy Bear все още не са свалили командните му сървъри. Тези сървъри имат дълъг живот и организациите трябва да предприемат защитни мерки срещу тях“, коментират от Netscout.

    Fancy Bear, позната още като Sednit или APT28, се счита за свързана с руското правителство хакерска група и автор на руткита.

    LoJax е първият известен случай на руткит, използван в организирана хакерска атака. Той атакува UEFI (наследник на BIOS) на съвременните компютри. Досега се предполагаше, че със зловредни кодове, които експлоатират UEFI, разполагат единствено някои държавни агенции за сигурност.

    LoJax се отличава с това, че оцелява след превантивни мерки като преинсталация на операционната система или смяна на твърдия диск. Името на руткита идва от LoJack – софтуер против кражба на лаптопи, заради който производителите на компютри инсталират в продуктите си определени файлове, които комуникират с UEFI. Именно от тези преконфигурирани файлове се възползва LoJax, за да функционира.

  • Хакерите от Sednit използват Brexit, за да атакуват държавни организации

    Последен ъпдейт на 3 декември 2018 в 09:05 ч.

    Хакерската група Sednit използва събитията около Brexit, за да разпространява малуер. Сред основните цели на групата са държавни институции в Централна Азия и Централна и Източна Европа.

    В момента членовете на Sednit водят активна спам кампания, показва анализ на компанията за информационна сигурност Accenture Security. Имейлите съдържат зловреден документ Brexit 15.11.2018.docx, чието име заблуждава, че има връзка с преговорите между Великобритания и Европейския съюз. „Темата за Brexit подсказва кои са целите на групата, която се фокусира основно върху страни-членки на NATO, страни в Централна Азия и съседни на Русия страни“, коментират от Accenture Security.

    В прикачения документ има макро скрипт, който сваля на компютъра истинския малуер – в случая Zekapab, известен още и като Zebrocy. Зловредният код събира информация от заразеното устройство като средство за шпионаж. Според компанията за киберсигурност ESET малуерът се използва активно поне от няколко години и постоянно еволюира.

    За Sednit се предполага, че е свързана с руското разузнаване. Групата се счита за автор на някои значими атаки, включително и такива срещу държавни институции. Според ESET първата хакерска атака с UEFI руткит е дело именно на Sednit.

    За атаката, станала известна като LoJax, беше съобщено в края на септември. Tя се отличава с това, че атакува UEFI на устройството и може да устои на смяна на операционната система и дори смяна на твърдия диск на заразения компютър. Според ESET основна цел на атаката с UEFI руткит са държавни институции от Централна и Източна Европа.

    Актуалната спам кампания не се различава съществено от други подобни, извършвани от групата. Тя обаче показва, че членовете на Sednit продължават да са активни. „Предвид предполагаемата връзка с Русия, очевидно групата разполага с достатъчно ресурси, за да атакува организации. Ето защо са необходими инвестиции в защитни мерки“, коментират от Accenture Security.
    [box type=“success“ align=“alignleft“ class=““ width=““]

    Съвети за администратори

    Блокирайте IP адреса на използвания за атаката команден сървър: 109.248.148.42;

    Инструктирайте служителите във фирмата да не разрешават отварянето на скриптове от документи за Microsoft Office;
    [/box]

  • Lojax: изключително опасен за компании и държавни институции

    Последен ъпдейт на 15 октомври 2018 в 15:34 ч.

    Атаките над UEFI са редки, но за сметка на това имат много сериозни последствия. Това заяви Роман Ковач, директор „Анализи“ в словашката компания за киберсигурност ESET. Миналата седмица фирмата съобщи, че е открила LoJax – първата кибератака от организирана престъпна група, разполагаща със собствен UEFI руткит.

    Атаката е изключително опасна, защото не се поддава на стандартни превантивни мерки. Освен това повечето антивирусни програми не сканират UEFI(спецификация за софтуерен интерфейс между операционната система и хардуера), което означава, че руткитът може да инфектира системата напълно незабелязано.

    Нищо ново под слънцето

    Атаките върху UEFI не са нещо ново. Има инструменти за осъществяването им, с които държавните разследващи институции се снабдяват напълно легално. В интервю за Welivesecurity.com Ковач посочва за пример Hacking Team – италианска компания, която продава шпионски софтуер на правителства от различни страни по света.

    Дейността на Hacking Team стана известна на широката общественост през юли 2015 г. Тогава имейл комуникация на компанията с нейни клиенти изтече в интернет. „Hacking Team рекламираха активно като услуга опцията да достъпват и модифицират фърмуеъра на набелязаната цел. В данните, които изтекоха в WikiLeaks, имаше информация за UEFI руткит. Това доказва, че твърденията на Hacking Team са били истина“, посочва Ковач.

    В ръцете на руски хакери

    Откритият от ESET руткит обаче е първият, за който е известно, че се използва от организарана престъпна група, а не от държавен орган. Предполага се, че той е собственост на Sednit – руска хакерска група, която многократно е попадала в медиите заради извършени от нея атаки.

    „Ако злонамерено лице може да контролира процесите, които се стартират на устройството, той го контролира изцяло. Освен че са изключително опасен вектор на атака, промените във фърмуеъра са трудни за засичане и могат да оцелеят дори след радикални мерки за сигурност като преинсталиране на операционната система или смяна на твърдия диск“, коментира Ковач.

    Какви са рисковете

    „Нека ви напомня една от основните принципи в управлението на риска: той е функция от цената, която плащаш като резултат от едно събитие, и неговата вероятност. Дори и ако тези атаки са редки, те носят със себе си сравнително висок риск, ако последиците от тях са значими. Случаят с UEFI руткитът е точно такъв“, казва Ковач.

    Трябва ли обикновените потребители да се притесняват? Според Ковач – не, защото индивидуалните потребители не са основната цел на такъв тип атаки. Обикновено те са насочени към държавни институции и бизнеси. Това са организациите, които понасят най-голяма тежест от подобни атаки. За индивидуалните потребители рискът (засега) клони към нула.

  • LoJax: първият UEFI руткит, засечен в кибер атака

    Първият UEFI руткит, използван в кибер атака, е засечен от анализаторите на компанията за киберсигунрост ESET.

    Зловредният код е използван от руската хакерска група Sednit за придобиване на контрол върху компютри от държавни институции в Централна и Източна Европа. Няма информация дали България е сред засегнатите от атаката държави.

    Вижте пълната публикация в блога на ESET >>

    Какво е UEFI?

    UEFI е спецификация за софтуерен интерфейс между операционната система и хардуера. UEFI заменя вече остарялата технология BIOS.

    Досега се предполагаше, че със зловредни кодове, които експлоатират UEFI, разполагат единствено някои държавни агенции за сигурност. Според ESET това е първият случай, в който организирана хакерска група злоупотребява с такъв руткит.

    Защо LoJax e опасен?

    LoJax е особено опасен, тъй като може да прескача някои традиционни защитни мерки като преинсталиране на операционната система или смяна на твърдия диск. Друг проблем е, че се открива трудно, защото повечето антивирусни програми не сканират UEFI.

    “Вече няма причина да не сканирате фърмуеъра на компютъра си. Да, атаките срещу UEFI са изключително редки, и до този момент бяха възможни при физически достъп до компютъра. Но ако една таква атака се осъществи, тя ще доведе до пълен контрол над устройството”, коментира Жан-Ян Бутин, анализатор в ESET.

    [box type=“success“ align=“alignleft“ class=““ width=““]

    Как да се защитите от LoJax?

    Защитата от LoJax, както всъщност и всеки зловреден код, манипулиращ UEFI или фърмуеър, е трудна задача. Все пак от ESET предлагат няколко възможности за действие:

    • Активирайте Secure Boot от настройките на UEFI;
    • Ако атаката вече е осъществена може да се подмени дънната платка на инфектираното устройство. Алтернативата е да се подмени фирмуеъра на SPI флаш паметта, но това е сложна процедура, която не е по силите на обикновения потребител;
    • Използвайте приложения за защита, които сканират и UEFI (например, ESET Endpoint Security)

    [/box]

    Кой е автор на атаката

    Според ESET най-вероятният извършител е хакерската група Sednit, за която се предполага, че имa връзки с руското разузнаване. Известна още като APT28, STRONTIUM, Sofacy или Fancy Bear, тя често е посочвана като извършител на известни в медиите атаки като хакването на френската телевизиознна група TV5Monde или публикуването в интернет на имейли от Световната антидопингова агенция.

    Според информация на “Капитал” Sednit е сочена като вероятен извършител на DDoS атаката срещу сайта на Централна избирателна комисия през ноември 2015 г.

Back to top button