Spoločnosť ESET analyzovala pravdepodobne prvý škodlivý kód, ktorý infikuje priamo náhradu BIOSu. Útočí na európske vládne ciele
Bezpečnostná spoločnosť ESET objavila a analyzovala pravdepodobne prvý škodlivý kód, ktorý infikuje UEFI, teda náhradu BIOSu v novších počítačoch. Ide o firmware základnej dosky počítača.
ESET sa domnieva na základe dostupných informácií, že za škodlivým kódom je skupina Sednit. Podľa amerického ministerstva spravodlivosti stojí práve táto skupina za útokom na organizáciu Demokratickej strany krátko pred prezidentskými voľbami v roku 2016.
Skupina zrejme tiež stojí za únikom e-mailov Svetovej antidopingovej agentúry, ale aj za útokom na globálnu televíznu sieť TV5Monde.
V tomto prípade skupina útočila na vládne ciele na Balkáne a v strednej a východnej Európe. Z bezpečnostných dôvodov však spoločnosť nechce zverejňovať bližšie detaily o obetiach.
ESET túto hrozbu pomenoval LoJax. „O UEFI hrozbách sa hovorilo zatiaľ len ako o koncepte. Tiež sa vie, že niektoré môžu mať k dispozícii niektoré vládne agentúry. Zatiaľ však žiadna UEFI hrozba nebola reálne aj objavená,“ vysvetľuje Jean-Ian Boutin zo spoločnosti ESET, ktorý LoJax výskum viedol.
UEFI hrozby sú obzvlášť nebezpečné v tom, že slúžia ako kľúč do celého počítača a zároveň dokážu prežiť viaceré bezpečnostné protiopatrenia, napríklad reinštaláciu operačného systému alebo výmenu hard disku. Úplné odstránenie UEFI hrozby si vyžaduje výrazne technické znalosti, napr. ako reflashovať firmware zariadenia.
„Momentálne nevieme, ako presne sa táto konkrétna hrozba dostala do infikovaných zariadení,“ dodáva Boutin.
ESET je jediný veľký výrobca bezpečnostných riešení, ktorého produkty majú bezpečnostnú vrstvu určenú na detekciu škodlivých doplnkov vo firmwari počítača, volá sa Kontrola UEFI.
„Vďaka kontrole UEFI sú naši firemní i domáci používatelia v dobrej pozícii zbadať takýto útok a brániť sa pred ním,“ hovorí Juraj Malcho, technologický riaditeľ spoločnosti ESET.
Skupina Sednit, ktorá má byť za LoJaxom, je známa aj pod menom Fancy Bear, Sofacy, APT28 alebo STRONTIUM. Funguje minimálne od roku 2004 a má diverzifikované sady rôznych škodlivých nástrojov. Práve ich podobnosť vedie spoločnosť ESET k myšlienke, že za LoJaxom je skupina Sednit.
Tvorcovia tejto hrozby sa zrejme inšpirovali anti-theft softvérom LoJack, od ktorého ESET odvodil meno tejto UEFI hrozby. LoJack slúži na vyhľadávanie stratených alebo ukradnutých laptopov. Z tohto dôvodu je aj veľmi špecifický v tom, že musí prežiť pokusy o reinštaláciu operačného systému alebo výmenu hard disku, ktorú by chcel vykonať zlodej alebo nový majiteľ laptopu.
LoJack je predinštalovaný vo firmwari veľkého množstva laptopov od rôznych výrobcov a čaká na to, kým ho používatelia aktivujú.
Ako sa podľa spoločnosti ESET chrániť pred UEFI hrozbami:
- Zapnite si v zariadení Secure Boot. Ide o základnú ochranu pred útokmi cielenými na UEFI. LoJax nebol správne podpísaný a tento mechanizmus by ho zablokoval.
- Tak ako pri softvéri, aj firmware by si mali používatelia aktualizovať. Informácie o aktualizáciách by mali byť k dispozícii na webstránke výrobcu vašej základnej dosky.
Ako zo zariadenia odstrániť LoJax: - V tomto konkrétnom prípade je potrebné reflashovať SPI flash memory. Ak to z akéhokoľvek dôvodu pre používateľa nie je možné, je potrebné vymeniť základnú dosku infikovaného zariadenia.
Zdroj: Tlačová správa