ESET analyzoval LoJax, jeden z prvních škodlivých kódů, který infikuje UEFI. Útočí na evropské vládní instituce

Další zpráva

Praha 27. října 2018 – Bezpečnostní společnost ESET objevila a analyzovala zřejmě první škodlivý kód, který infikuje UEFI, tedy moderní náhradu BIOSu v dnešních počítačích. ESET tento rootkit detekuje jako LoJax. Na základě více znaků se analytici společnosti ESET domnívají, že za škodlivým kódem je skupina Sednit.

Ta stojí podle amerického ministerstva spravedlnosti za útokem na Demokratický národní výbor ve Spojených státech krátce před prezidentskými volbami v roce 2016. Skupina je bezpečnostními experty rovněž spojována s únikem e-mailů ze Světové antidopingové agentury či za útoky na francouzskou televizní stanici TV5 Monde. V tomto aktuálním případě skupina útočila na vládní instituce ve státech střední a východní Evropy. Z bezpečnostních důvodů ESET nebude zveřejňovat více informací o napadených.

„O UEFI rootkitech, tedy hrozbách, se hovořilo zatím jen jako o konceptu. Tento objev ale potvrzuje, že je lze reálně zneužít k útoku,“ říká Jean-Ian Boutin, bezpečnostní analytik společnosti ESET, který vedl výzkum této hrozby.

UEFI hrozby jsou obzvláště nebezpečné v tom smyslu, že slouží jako klíč k celému počítači, jsou obtížně detekovatelné a zůstávají v systému i po reinstalaci operačního systému či výměně pevného disku. Pokud chceme infikovaný systém UEFI rootkitu zbavit, vyžaduje to znalosti nad rámec běžného i pokročilého uživatele. Například flashnutí firmware základní desky.

„Způsob, jakým se tento rootkit dostal do napadených zařízení, zatím stále ještě zjišťujeme,“ dodává Boutin.

ESET je jediný z velkých výrobců bezpečnostního softwaru, jehož produkty obsahují bezpečnostní vrstvu určenou na detekci škodlivých kódů ve firmwaru počítače. Nazývá se kontrola UEFI.

„Díky kontrole UEFI jsou naši domácí i firemní uživatelé proti takové hrozbě chráněni,“ říká Juraj Malcho, technologický ředitel (CTO) společnosti ESET.

Skupina Sednit, která je pravděpodobným tvůrcem LoJaxu, je rovněž známá jako APT28, STRONTIUM, Sofacy či Fancy Bear. Jedná se o jednu z nejaktivnějších kyberkriminálních skupin, která je aktivní již od roku 2004. Ke svým útokům používá diverzifikované sady různých nástrojů, které jsou jednou z indicií, které vedou analytiky společnosti ESET k přesvědčení, že se jedná v tomto případě právě o skupinu Sednit.

Tvůrci této hrozby se pravděpodobně inspirovali anti-theft softwarem LoJack, od kterého analytici společnosti ESET odvodili jméno této UEFI hrozby. Legitimní LoJack slouží na vyhledávání ztracených či ukradených počítačů. Z toho důvodu je velmi specifický v tom smyslu, že musí odolat snaze zloděje, který může po krádeži provést reinstalaci operačního systému či výměnu pevného disku. Legitimní LoJack je předinstalovaný ve firmwaru velkého množství notebooků od různých výrobců a čeká na moment, kdy ho uživatel vzdáleně aktivuje.

Kompletní analýza škodlivého kódu LoJax je zveřejněna ve studii „LoJax: First UEFI rootkit found in the wild, courtesy of the Sednit group”.

Doporučení společnosti ESET pro ochranu před UEFI hrozbami:

  • Zapněte si v zařízení Secure Boot. Jedná se o základní ochranu před útoky cílenými na UEFI. Škodlivý kód LoJax by byl tímto mechanismem zablokován.
  • Stejně jak software, tak i firmware je potřeba pravidelně aktualizovat. Informace o aktualizacích by měly být k dispozici na webové stránce výrobce vaší základní desky.

Postup k odstranění LoJaxu ze systému:

  • V tomto konkrétním případě je nutné reflashovat SPI flash memory. Pokud to z nějakého důvodu není možné, je třeba vyměnit základní desku infikovaného zařízení.

 

O společnosti ESET

Společnost ESET již od roku 1987 vyvíjí bezpečnostní software pro domácí i firemní uživatele. Ten drží rekordní počet ocenění a díky němu může více než 100 milionů uživatelů bezpečně objevovat možnosti internetu. Široké portfolio produktů ESET pokrývá všechny populární platformy včetně mobilních a poskytuje neustálou proaktivní ochranu při minimálních systémových nárocích. ESET se stal první společností, která díky dlouhodobě vysoké úrovni ochrany získala 100 ocenění prestižního magazínu Virus Bulletin VB100. Za těmito úspěchy stojí zejména dlouhodobé investice do vývoje. Jen v České republice nalezneme tři vývojová centra a to v Praze, Jablonci nad Nisou a Brně. Společnost ESET má lokální zastoupení v Praze, celosvětovou centrálu v Bratislavě a disponuje rozsáhlou sítí partnerů ve více než 200 zemích světa.

Kontakt pro média:

Ondřej Šafář
PR manažer ESET software 
tel: +420 233 090 264
tel: +420 702 206 705
ondrej.safar@eset.cz

Jan Potůček
Account Manager
TAKTIQ COMMUNICATIONS
+420 606 222 928
jan.potucek@taktiq.com