Οι ερευνητές της ESET ανακάλυψαν μία κυβερνοεπίθεση, που χρησιμοποίησε ένα rootkit UEFI για να εισχωρήσει στους υπολογιστές των θυμάτων. Το rootkit, που ονομάστηκε LoJax από την ESET, ήταν μέρος μιας εκστρατείας της περιβόητης ομάδας Sednit με στόχους αρκετούς οργανισμούς υψηλού προφίλ στην Κεντρική και Ανατολική Ευρώπη. Πρόκειται για την πρώτη επίθεση αυτού του είδους που γίνεται δημοσίως γνωστή.
«Αν και θεωρητικά γνωρίζαμε ότι υπήρχαν rootkits UEFI, η ανακάλυψή μας αυτή επιβεβαιώνει ότι χρησιμοποιούνται από μια ενεργή ομάδα APT. Έτσι, δεν αποτελεί πλέον απλά ένα ενδιαφέρον θέμα συζήτησης σε συνέδρια, αλλά μια πραγματική απειλή», σχολιάζει ο Jean-Ian Boutin, senior security researcher της ESET και επικεφαλής της έρευνας για το LoJax και την εκστρατεία της ομάδας Sednit.
Τα rootkits UEFI είναι εξαιρετικά επικίνδυνα εργαλεία για την εξαπόλυση επιθέσεων στον κυβερνοχώρο. Χρησιμεύουν ως κλειδί για ολόκληρο τον υπολογιστή, είναι δύσκολο να εντοπιστούν και μπορούν να αντιπαρέλθουν μέτρα κυβερνοασφάλειας, όπως την επανεγκατάσταση του λειτουργικού συστήματος ή ακόμα και την αντικατάσταση σκληρού δίσκου. Επιπλέον, ακόμη και ο καθαρισμός ενός συστήματος που έχει μολυνθεί με ένα rootkit UEFI απαιτεί γνώσεις πολύ πιο εξειδικευμένες από αυτές που διαθέτει ένας τυπικός χρήστης, όπως το το flashing στο firmware.
Η ομάδα Sednit, επίσης γνωστή ως APT28, STRONTIUM, Sofacy ή Fancy Bear, είναι μία από τις πιο δραστήριες ομάδες APT με δράση τουλάχιστον από το 2004. Φέρεται ότι η ομάδα αυτή βρίσκεται πίσω από την παραβίαση των ηλεκτρονικών υπολογιστών της Εθνικής Επιτροπής των Δημοκρατικών, που επηρέασε τις εκλογές του 2016 στις ΗΠΑ, το hacking του παγκόσμιου τηλεοπτικού δικτύου TV5Monde, τη διαρροή email του Παγκόσμιου Οργανισμού κατά της Φαρμακοδιέγερσης και άλλων πολλών συμβάντων.
Αυτή η ομάδα διαθέτει ένα σύνολο ποικίλων και διαφορετικών εργαλείων malware, σε πολλά από τα οποία έχουν αναφερθεί τεκμηριωμένα οι ερευνητές της ESET σε σχετικό white paper καθώς και σε πολλά blogposts στο WeLiveSecurity.
Η ανακάλυψη του πρώτου in-the-wild rootkit UEFI αποτελεί μία προειδοποίηση για τους χρήστες και τους οργανισμούς, που συχνά αγνοούν τους κινδύνους που συνδέονται με τις τροποποιήσεις του firmware.
«Πλέον, δεν υπάρχει δικαιολογία για την εξαίρεση του firmware από τη διαδικασία της τακτικής σάρωσης. Ναι, οι επιθέσεις που σχετίζονται με το UEFI είναι εξαιρετικά σπάνιες και μέχρι τώρα περιορίζονταν κυρίως στη φυσική παραβίαση του υπολογιστή-στόχου. Ωστόσο, μια τέτοια επίθεση, αν πετύχει, θα οδηγήσει στον πλήρη έλεγχο ενός υπολογιστή, με σχεδόν πλήρη ανθεκτικότητα», σχολιάζει ο Jean-Ian Boutin.
Η ESET είναι ο μόνος μεγάλος κατασκευαστής λύσεων ασφάλειας endpoint που προσθέτει ένα ειδικό επίπεδο προστασίας, το ESET UEFI Scanner, ειδικά για την ανίχνευση κακόβουλων στοιχείων στο firmware ενός υπολογιστή.
«Χάρη στον ESET UEFI Scanner, οι πελάτες μας, τόσο οι καταναλωτές όσο και οι επιχειρήσεις, θα έχουν τη δυνατότητα να εντοπίζουν τέτοιες επιθέσεις και να προστατεύονται από αυτές», καταλήγει ο Juraj Malcho, Chief Technology Officer της ESET.
Η ανάλυση της ESET σχετικά με την εκστρατεία της ομάδας Sednit που χρησιμοποιεί το πρώτο rootkit UEFI, περιγράφεται λεπτομερώς στο white paper «LoJax: First UEFI rootkit found in the wild, courtesy of the Sednit group».
Σχετικά με την ESET
Εδώ και 30 χρόνια, η ESET® αναπτύσσει λογισμικό και υπηρεσίες κορυφαίου επιπέδου για την ασφάλεια επιχειρήσεων και καταναλωτών σε όλο τον κόσμο. Οι λύσεις της ESET, που καλύπτουν ένα ευρύ φάσμα, από την προστασία endpoint και mobile, έως την κρυπτογράφηση και την πιστοποίηση διπλού παράγοντα, διακρίνονται για τις υψηλές επιδόσεις και την ευκολία στη χρήση, προσφέροντας σε καταναλωτές και επιχειρήσεις την ευκαιρία να απολαμβάνουν με ξεγνοιασιά όλες τις δυνατότητες της τεχνολογίας τους. Η ESET προστατεύει και παρακολουθεί όλο το 24ωρο αθόρυβα, προσαρμόζοντας και ανανεώνοντας τις άμυνες της σε πραγματικό χρόνο, ώστε οι χρήστες να είναι ασφαλείς και οι επιχειρήσεις να λειτουργούν αδιάκοπα. Οι απειλές μεταβάλλονται διαρκώς και απαιτούν μια εταιρεία IT ασφάλειας που μπορεί να εξελίσσεται. Διαθέτει παγκοσμίως κέντρα R&D που την υποστηρίζουν, και αποτελεί την πρώτη εταιρεία ασφάλειας IT που έχει φτάσει τον αριθμό των 100 βραβείων Virus Bulletin VB100, χωρίς να έχει χάσει ούτε ένα «in-the-wild» ιό από το 2003.
Η ESET διαθέτει τοπικά γραφεία σε Αθήνα και Λευκωσία, καθώς κι ένα εκτεταμένο δίκτυο συνεργατών σε Ελλάδα και Κύπρο.