ESET виявила перший руткіт, який намагається атакувати UEFI комп'ютера
ESET виявила перший руткіт, який намагається атакувати UEFI комп'ютера
Виявлено руткіт, який зберігається у флеш-пам'яті на материнській платі комп'ютера, звідки його можна вивести лише шляхом перепрошивки.
Експерти компанії ESET виявили перший руткіт, який намагається атакувати UEFI цільового комп'ютера.
UEFI — це інтерфейс між операційною системою та мікропрограмами, що керують низькорівневими функціями обладнання. Його основне призначення – коректно ініціалізувати обладнання при включенні системи та передати управління завантажувачу ОС.
Вірогідність руткітів, націлених на UEFI, обговорювалася протягом кількох років. Шкідлива програма, що записується у Flash-пам'ять материнської плати і здатна стійко там зберігатися, це більш ніж суттєва проблема, оскільки виявити і усунути її традиційними методами не вийде: такий руткіт сидітиме на найнижчому рівні, куди не дотягнуться навіть спеціалізовані протирукітні засоби.
Наразі від подібної атаки захищають режим безпечного завантаження Windows та регулярне оновлення UEFI.
До недавнього часу UEFI-руткіти не вдавалося виявити у реальних кіберкампаніях. Тепер такий руткіт виявлено. Цей інструмент, як встановили експерти ESET, використовується угрупуванням Sednit (також відомим як APT28, Fancy Bear та Sofacy).
Сам по собі руткіт носить найменування LoJax — по суті це модифікована версія розробки Absolute Software LoJack, яка дозволяє власникам вкрадених ноутбуків отримати віддалений доступ до своїх даних, не викликаючи підозр у злодіїв, та з'ясувати розташування викраденого пристрою.
При кожному перезапуску системи код LoJack виконується ще до того, як завантажується операційна система та антивіруси. І навіть при заміні жорсткого диска програма продовжить працювати.
LoJax побудований на базі вразливої версії LoJack, у якої модуль конфігурації був захищений дуже слабо. Ця вразливість дозволила операторам Sednit змінити єдиний байт, який містить у легітимному ПЗ інформацію про домени, з яких LoJack завантажує необхідні компоненти.
У разі LoJax цей байт містить інформацію про контрольний домен APT-кампанії, з якого завантажується сам руткіт.
Загалом атака починається цілком типово - з фішингового листа (або чогось подібного); об'єкту атаки пропонується скачати і запустити якийсь файл, що виконується, на перевірку виявляється дроппером (rpcnetp.exe). Цей дроппер звертається до браузера Internet Explorer і через нього до доменів Sednit. Звідти вже закачується безпосередньо сам руткіт, який встановлюється у флеш-пам'ять SPI. Після цього, позбутися його можна лише за допомогою перепрошивки пам'яті, або за допомогою зміни материнської плати.
