A A A

Nawet wymiana dysku w komputerze nie usunie tego wirusa

2 października 2018, 13:30
Eksperci z ESET dokonali niepokojącego odkrycia. Zidentyfikowali wirusa LoJax, który na cel bierze komputery mieszkańców Europy centralnej i wschodniej, w tym Polaków. Wykryte zagrożenie zagnieżdża się w systemie UEFI (następcy BIOS-u) i jest niezwykle trudne do usunięcia.
Nawet wymiana dysku w komputerze nie usunie tego wirusa

Badacze z ESET odkryli pierwszy w historii cyberbezpieczeństwa rootkit działający na poziomie UEFI, czyli następcy BIOS-u. Wykryte zagrożenie zagnieżdża się w jednym z układów scalonych na płycie głównej komputera, gdzie przechowywany jest UEFI, czyli system sterujący działaniem każdego współczesnego peceta. W jaki sposób dochodzi do infekcji? Jak wskazuje Kamil Sadkowski, starszy analityk zagrożeń w ESET, LoJax, po przejęciu kontroli nad systemem operacyjnym, nadpisuje UEFI złośliwym kodem. Ten sam kod, każdorazowo, gdy użytkownik uruchamia komputer, odpowiada za aktywowanie złośliwego programu (konia trojańskiego) w systemie operacyjnym ofiary. Wówczas zagrożenie komunikuje się z serwerem cyberprzestępców C&C i pobiera z niego, a następnie instaluje w systemie docelowe zagrożenie.

Grupa przestępcza Sednit odpowiedzialna za LoJax

Jak wskazują badacze ESET za zagrożeniem stoi grupa cyberprzestępcza Sednit, znana również jako APT28, Fancy Bear, Sofacy lub STRONTIUM. Jej członkami są hakerzy, którzy od ponad 10 lat, wielokrotnie atakowali wybrane cele w krajach Europy Wschodniej i Azji. Warto przypomnieć, że ta sama grupa Sednit cztery lata temu zaatakowała stronę polskiej instytucji finansowej. Atak polegał wtedy na wstrzyknięciu do źródła strony złośliwego kodu, który przekierowywał każdego odwiedzającego serwis do innej złośliwej witryny. W kolejnym kroku, wykorzystując lukę w przeglądarce Internet Explorer, doprowadzano do infekcji komputerów nieświadomych zagrożenia internautów. Trzy lata później grupa zaatakowała ponownie - rozesłała falę wiadomości mailowych do pracowników ministerstwa spraw zagranicznych jednego z europejskich państw. Wiadomości zawierały złośliwy dokument o nazwie „Trump's_Attack_on_Syria_English.docx", który w odniesieniu do ówczesnej sytuacji politycznej, swoją nazwą zachęcała do otwarcia pliku. Ostatnia aktywność grupy miała miejsce w kwietniu tego roku. Wówczas jej celem stali się pracownicy ambasad, ministerstw spraw zagranicznych i placówek dyplomatycznych aż 18 krajów, m.in. z Rosji, Egiptu, Korei, Turcji, czy Urugwaju. Stworzone przez nich zagrożenie wykrywane przez ESET pod nazwą Zebrocy aktywowało się po pobraniu zainfekowanego załącznika .doc z wiadomości e-mail, następnie wykonywało rozkazy cyberprzestępców i zbierało informacje o użytkownikach zainfekowanych komputerów.

Jak chronić się przed LoJax

By skutecznie zabezpieczyć się przed infekcją LoJax, konieczne jest posiadanie rozwiązania, które ma możliwość analizy i zabezpieczenia przed infekcją właśnie UEFI.

Zdjęcie główne pochodzi ze źródła: ©123RF/PICSEL


Krzysztof Mocek / Informacja prasowa
krzysztof.mocek@firma.interia.pl
Ocena:
Oceń:
Komentarze (1)

Redakcja nie ponosi odpowiedzialności za treść komentarzy. Komentarze wyświetlane są od najnowszych.
dawidsab
dawidsab
3 października 2018, 08:32
Witam! Naprawdę nie ma żadnego innego sposobu na usunięcie tego szkodnika, niż wymiana płyty głównej bądź całego komputera? :oczy:
Najnowsze aktualności

Xiaomi Mi 9T - lepsza wersja Mi 9?
25 maja 2019
Po wielki sukcesie modelu Xiaomi Mi 9, chiński gigant postanowił wprowadzić na rynek kolejną wariację tego modelu - nowość będzie...



Załóż konto
Co daje konto w serwisie pcformat.pl?

Po założeniu konta otrzymujesz możliwość oceniania materiałów, uczestnictwa w życiu forum oraz komentowania artykułów i aktualności przy użyciu indywidualnego identyfikatora.

Załóż konto