ESET tyrėjai nustatė pirmąjį UEFI šakninį virusą

Kitas straipsnis

ESET saugumo tyrėjai nustatė kibernetinę ataką, kuri patekimui į kompiuterį naudoja UEFI šakninį virusą (angl. rootkit). „LoJax“ pavadintas kenkėjas buvo naudojamas žinomos kibernetinių nusikaltėlių grupuotės „Sednit“, kuri vykdė atakas Vidurio ir Rytų Europoje. Tai yra pirmoji tokio pobūdžio ataka, kurią pavyko atskleisti.

„Nors buvome įsitikinę, kad teoriškai UEFI šakniniai virusai egzistuoja, mūsų atradimas tik patvirtina, kad tokio pobūdžio kenkėjai yra naudojami aktyvių grupių, rengiančių tikslines atakas. Tai nebėra vien patrauklus pavadinimas saugumo konferencijose – tai yra reali grėsmė“, – komentuoja ESET vyr. saugumo tyrėjas Jean-Ian Boutin, vadovavęs „LoJax“ ir „Sednit“ kampanijų tyrimui.

UEFI šakniniai kenkėjai yra itin pavojingi įrankiai, naudojant juos kibernetinių atakų vykdymui. Jie pasitarnauja kaip raktas į visą kompiuterį, kurį itin sunku nustatyti ir kuris gali išlikti, net ir imantis saugumo priemonių, kaip operacinės sistemos perinstaliavimo ar standžiojo disko pakeitimo.

Be to, norint išvalyti sistemą nuo UEFI šakninio viruso, reikia kur kas gilesnių IT žinių, nei jų turi paprastas vartotojas.

ESET Lietuva IT inžinierius Ramūnas Liubertas tikina, kad kibernetinės grėsmės kasdien tampa vis labiau pažangios, o bazinės antivirusinės apsaugos nebepakanka.

„Praėjusiais metais, kai ESET išleido apsaugą su UEFI nuskaitymu, dažnas klausė, kam reikalingas šis apsaugos lygis? IT specialistai UEFI dažniau vadina BIOS vardu. Tai senesnė sistema, kurią pakeitė UEFI, o ją jau turi kiekvienas šiuolaikinis kompiuteris su „Windows“ aplinka. BIOS buvo sukurtas 8 bitų kompiuteriams dar 1975 metais. Niekas nemanė, kad ši technologija bus naudojama ir šiandien. Tik antivirusinė su UEFI nuskaitymu apsaugo kompiuterį nuo sudėtingesnių grėsmių, dar prieš pasileidžiant „Windows“ operacinei sistemai“, – komentuoja specialistas.

„Sednit“, dar žinoma tokiais pavadinimais, kaip „APT28“, „STRONTIUM“, „Sofacy“ ar „Fancy Bear“, yra viena aktyviausių tikslines atakas rengiančių kibernetinių nusikaltėlių grupuočių, savo veiklą vykdanti nuo 2004 m. Jai priskiriamos tokios atakos, kaip 2016 m. JAV rinkimams turėjęs įtakos įsilaužimas į Demokratinį nacionalinį komitetą, įsilaužimas į pasaulinį televizijos tinklą „TV5Monde“ ir Pasaulio antidopingo agentūros el. laiškų nutekinimas.

Ši nusikaltėlių grupuotė savo arsenale turi diversifikuotų kenksmingų programų ir įvairių įrankių, dalį kurių ESET tyrėjams pavyko ištirti ir aprašyti specialiose ataskaitose bei tinklaraščio „WeLiveSecurity“ įrašuose.

Pirmą kartą aptiktas UEFI šakninis virusas yra rimtas įspėjimas visiems vartotojams ir organizacijoms, ignoruojantiems rizikas, susijusias su įmontuotos programinės įrangos (angl. firmware) modifikacijomis.

„Dabar nėra jokių pasiteisinimų nevykdyti įmontuotos programinės įrangos nuskaitymo. Taip, su UEFI susijusios atakos yra itin retos, tačiau jų vykdymas leidžia nusikaltėliams perimti pilną kompiuterio kontrolę“, – tikina Jean-Ian Boutin.

ESET yra vienintelė „endpoint“ saugumo sprendimų kūrėja, savo namų ir verslo vartotojams skirtuose produktuose naudojanti papildomą apsaugos sluoksnį – UEFI skaitytuvą, kuris aptinka kenksmingus komponentus kompiuterio įmontuotoje programinėje įrangoje.

Daugiau informacijos apie „Sednit“ kampaniją, naudojančią pirmą kartą atrastą UEFI šakninį virusą, skaitykite ESET ataskaitoje „LoJax: First UEFI rootkit found in the wild, courtesy of the Sednit group“.