Cercetătorii ESET au descoperit LoJax, primul rootkit UEFI detectat într-un atac cibernetic


2019-01-21

Cercetătorii ESET au descoperit un atac cibernetic în care s-a folosit un rootkit UEFI, drept cale de acces în calculatoarele victimelor. Denumit LoJax de către ESET, acest rootkit face parte dintr-o campanie desfășurată de faimosul grup Sednit împotriva mai multor ținte high-profile din Europa Centrală și de Est și este primul atac de acest gen, făcut public.

"Deși, teoretic, am fost conștienți de existența rootkit-urilor UEFI, descoperirea noastră confirmă faptul că sunt folosite de un grup activ care dezvoltă atacuri persistente (APT).  Această nouă cale de atac nu mai este doar un subiect atractiv la conferințe, ci o metodă de infiltrare reală", remarcă Jean-Ian Boutin, Senior Security Researcher la ESET, cel care a condus cercetarea în campania lui LoJax și Sednit.

Rootkit-urile UEFI sunt instrumente extrem de periculoase pentru lansarea unor atacuri cibernetice. Ele servesc ca o cheie de acces la întregul computer, sunt greu de detectat și capabile să supraviețuiască măsurilor de securitate cibernetică, cum ar fi reinstalarea sistemului de operare sau chiar înlocuirea unui hard disk. Mai mult decât atât, chiar și curățarea unui sistem care a fost infectat cu un rootkit UEFI necesită cunoștințe peste nivelul utilizatorului obișnuit, cum ar fi rescrierea firmware-ului.

Sednit, cunoscut și sub numele de APT28, STRONTIUM, Sofacy sau Fancy Bear, este una dintre cele mai active grupări care desfășoară atacuri persistente APT și activează încă din 2004. Se crede că Sednit este responsabil pentru mișcările de hacking ce au vizat Comitetul Național Democrat (care au afectat alegerile din 2016 din SUA), rețeaua internațională de televiziune TV5Monde precum și de scurgerea de date a Agenției Mondiale Anti-Doping și multe alte incidente de anvergură.

Acest grup are în arsenalul său un set vast de instrumente malware, câteva dintre ele fiind descrise în lucrarea noastră despre Sednit din 2016, cât și în numeroase postări de blog de pe WeLiveSecurity.

Descoperirea primului rootkit UEFI (in the wild) servește drept îndemn de trezire la realitate pentru utilizatorii și organizațiile care ignoră adesea riscurile legate de modificările la nivelul firmware-ului.

"Nu mai există nicio scuză acum pentru excluderea firmware-ului dintr-o scanare obișnuită. Da, atacurile facilitate de UEFI sunt extrem de rare și până acum acestea au fost limitate la manipularea fizică a computerului țintă. Cu toate acestea, dacă se dovedește de succes, un astfel de atac ar putea prelua controlul complet al unui computer, cu o persistență aproape totală", susține Jean-Ian Boutin.

ESET este singurul furnizor important de soluții de securitate endpoint, care adaugă un strat dedicat de protecție, ESET UEFI Scanner, conceput pentru a detecta componentele malițioase în firmware-ul unui PC.

"Datorită ESET UEFI Scanner, atât utilizatorii de acasă, cât și clienții business, sunt în măsură să identifice astfel de atacuri și să se apere împotriva lor", a adăugat Juraj Malcho, Chief Technology Officer la ESET.

Analiza ESET asupra campaniei malware derulata de Sednit, ce folosește primul rootkit UEFI in the wild, este descrisă în detaliu în lucrarea "LoJax: First UEFI rootkit found in the wild, courtesy of the Sednit group".

DESPRE ESET

Timp de 30 de ani, ESET® a dezvoltat software și servicii de securitate IT de top în industrie, pentru mediul de afaceri și consumatorii din întreaga lume. Cu soluții variind de la cele dedicate pentru endpoint-uri și pentru securitatea mobilă până la criptare și autentificare prin doi factori, produsele de înaltă performanță, ușor de utilizat, de la ESET, oferă consumatorilor și companiilor liniște pentru a se bucura de întregul potențial al tehnologiei lor. ESET protejează și monitorizează 24 de ore din 24, 7 zile din 7, actualizând tehnicile de apărare în timp real pentru a menține utilizatorii în siguranță și pentru a funcționa fără întreruperi. Evoluția amenințărilor necesită o companie de securitate IT evoluată. Susținută de centrele de cercetare și dezvoltare din întreaga lume, ESET a fost prima companie de securitate IT care a câștigat 100 de premii Virus Bulletin VB100, identificând fiecare malware "in-the-wild", fără întrerupere începând din 2003. Pentru mai multe informații, vizitați www.eset.ro și conturile de Facebook și Twitter.