Rambler's Top100
 
Все новости Новости отрасли

Обнаружена первая атака с использованием руткита для UEFI

04 октября 2018

ESET обнаружила вредоносную кампанию с использованием LoJax – первого известного руткита для Unified Extensible Firmware Interface (UEFI).

Руткиты UEFI – мощный инструмент для кибератак; их сложно обнаружить, и они сохраняют присутствие в системе даже после переустановки ОС или замены жесткого диска. Возможности этого вредоносного ПО ранее обсуждались на конференциях по информационной безопасности, но до настоящего момента ни одного UEFI-руткита не было обнаружено в реальных атаках.

ESET задокументировала первый случай успешного внедрения UEFI-руткита LoJax в скомпрометированной системе. По ряду признаков установлено, что атака выполнена АРТ-группой Sednit (APT28, Fancy Bear, Strontium или Sofacy) и нацелена на государственные учреждения на Балканах, в Центральной и Восточной Европе.

В основе руткита LoJax – троянизированная версия пользовательского агента легитимной программы LoJack от разработчика Absolute Software. LoJack – инструмент для защиты компьютера от потери или кражи. После активации программа обращается к своему командному серверу, и владелец будет уведомлен о местонахождении устройства. LoJack реализован как модуль UEFI/BIOS, благодаря чему способен пережить переустановку ОС или замену жесткого диска.

LoJax, вредоносный «близнец» легитимной программы, обладает такой же высокой устойчивостью в системе. После установки руткит выполняет в скомпрометированной системе одну цель – загружает вредоносные инструменты на выбор атакующих и контролирует их корректное выполнение.

Обнаружение LoJax доказывает, что этот тип вредоносного ПО представляет собой реальную, а не теоретическую угрозу. Кроме того, открытие является предупреждением для всех потенциальных целей Sednit – кибергруппа может быть еще опаснее, чем считалось прежде.

Источник: ESET

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.