Nawet wymiana dysku w komputerze nie usunie tego wirusa
Badacze z ESET odkryli pierwszy w historii cyberbezpieczeństwa rootkit działający na poziomie UEFI, czyli następcy BIOS-u. Wykryte zagrożenie zagnieżdża się w jednym z układów scalonych na płycie głównej komputera, gdzie przechowywany jest UEFI, czyli system sterujący działaniem każdego współczesnego peceta. W jaki sposób dochodzi do infekcji? Jak wskazuje Kamil Sadkowski, starszy analityk zagrożeń w ESET, LoJax, po przejęciu kontroli nad systemem operacyjnym, nadpisuje UEFI złośliwym kodem. Ten sam kod, każdorazowo, gdy użytkownik uruchamia komputer, odpowiada za aktywowanie złośliwego programu (konia trojańskiego) w systemie operacyjnym ofiary. Wówczas zagrożenie komunikuje się z serwerem cyberprzestępców C&C i pobiera z niego, a następnie instaluje w systemie docelowe zagrożenie.
Grupa przestępcza Sednit odpowiedzialna za LoJax
Jak wskazują badacze ESET za zagrożeniem stoi grupa cyberprzestępcza Sednit, znana również jako APT28, Fancy Bear, Sofacy lub STRONTIUM. Jej członkami są hakerzy, którzy od ponad 10 lat, wielokrotnie atakowali wybrane cele w krajach Europy Wschodniej i Azji. Warto przypomnieć, że ta sama grupa Sednit cztery lata temu zaatakowała stronę polskiej instytucji finansowej. Atak polegał wtedy na wstrzyknięciu do źródła strony złośliwego kodu, który przekierowywał każdego odwiedzającego serwis do innej złośliwej witryny. W kolejnym kroku, wykorzystując lukę w przeglądarce Internet Explorer, doprowadzano do infekcji komputerów nieświadomych zagrożenia internautów. Trzy lata później grupa zaatakowała ponownie - rozesłała falę wiadomości mailowych do pracowników ministerstwa spraw zagranicznych jednego z europejskich państw. Wiadomości zawierały złośliwy dokument o nazwie „Trump's_Attack_on_Syria_English.docx", który w odniesieniu do ówczesnej sytuacji politycznej, swoją nazwą zachęcała do otwarcia pliku. Ostatnia aktywność grupy miała miejsce w kwietniu tego roku. Wówczas jej celem stali się pracownicy ambasad, ministerstw spraw zagranicznych i placówek dyplomatycznych aż 18 krajów, m.in. z Rosji, Egiptu, Korei, Turcji, czy Urugwaju. Stworzone przez nich zagrożenie wykrywane przez ESET pod nazwą Zebrocy aktywowało się po pobraniu zainfekowanego załącznika .doc z wiadomości e-mail, następnie wykonywało rozkazy cyberprzestępców i zbierało informacje o użytkownikach zainfekowanych komputerów.
Jak chronić się przed LoJax
By skutecznie zabezpieczyć się przed infekcją LoJax, konieczne jest posiadanie rozwiązania, które ma możliwość analizy i zabezpieczenia przed infekcją właśnie UEFI.
Zdjęcie główne pochodzi ze źródła: ©123RF/PICSEL
