Защита сети - Новости » новости » В ESET обнаружили LoJax - это первый руткит заражающий UEFI.

http://www.netsecret.su/index.php?area=1&p=news&newsid=267&koobi=230a108a4ceae3948f4387c28ba13a5d



В ESET обнаружили LoJax - это первый руткит заражающий UEFI.



Исследователи безопасности компании ESET сообщили об обнаружении первого руткита в "дикой природе", заражающего унифицированный интерфейс расширяемой прошивки (UEFI).


Обнаруженный руткит UEFI получил название LoJax. Руткит был обнаружен в комплекте с инструментами, с помощью которых может перезаписывать UEFI. Вредоносное ПО может сохраняться внутри SPI флэш-памяти компьютера, это означает, что переустановка операционной системы и замена жесткого диска не избавят компьютер от вредоносной программы. Исследование показало, что руткит предназначался для правительственных организаций стран Балканского полуострова и других стран Центральной и Восточной Европы.

Согласно исследованиям ESET, Lojax является первым обнаруженным руткитом, заражающим UEFI в реальном мире. До этого эксперты в основном говорили об UEFI руткитах как о теоретической атаке, хотя ранее были свидетельства того, что частные фирмы продавали инструменты взлома для государственных заказчиков.

Специалисты ESET заявили, что поведение Lojax подражает оригинальному программному инструменту LoJack - официальному программному модулю компании Absolute Software с функциями Анти-вор, расположенному в BIOS/UEFI, соответственно который также трудно удалить с ПК. «Поскольку намерение этого программного обеспечения заключается в защите системы от кражи, важно, чтобы он не поддерживал переустановку ОС или замену жесткого диска. Таким образом, он реализован как модуль UEFI / BIOS, способный выжить в таких случаях. Это решение поставляется в предустановленной версии встроенного ПО большого количества ноутбуков, выпускаемых различными OEM-производителями, ожидающих активации их владельцами.», - сообщили специалисты ESET.

UEFI-руткит неправильно подписан, поэтому первым механизмом безопасности, который будет блокировать такую атаку, является механизм «Secure Boot». При включенном механизме «Secure Boot», каждый компонент прошивки, должен быть правильно подписан, что гарантирует целостность прошивки. В Eset настоятельно рекомендуют включить его.  Подробнее: https://habr.com/company/eset/blog/425251/

 



NetSecret