Антивирусная компания ESET обнаружила, что авторы вредоносного ПО используют UEFI/BIOS материнских плат для обеспечения неприкосновенности дистрибутива с трояном. Вредоносное ПО, в одном из выявленных случаев, пытается установить заражённый модуль UEFI и защитить SPI флеш-память материнской платы от перезаписи. В ESET считают, что троян создан АРТ-группой Sednit (APT28, Fancy Bear, Strontium или Sofacy). Вредоносное ПО LoJax замаскировано под легитимную программу LoJack (производства Absolute Software) — троян невозможно удалить заменой жёсткого диска и тем более перестановкой ОС. Сотрудники ESET изучили код и предположили, что целью атаки вируса сейчас являются госучреждения на Балканах, в Центральной и Восточной Европе. Вредоносный код работает, как минимум с начала 2017 года. Исследования ESET, являются точкой зрения их авторов и могут не совпадать с официальной позицией компании. В ESET подчеркнули, что некоторые предположения, опубликованные в российских и западных СМИ на базе рассказа о LoJax, не являются выводами исходного исследования.
UEFI, или "Unified Extensible Firmware Interface" — это современное название для спецификации EFI, разработки Intel. Компьютеры с Linux могли использовать EFI при загрузке с начала 2000 года, машины на Windows с 2002, Mac OS с 2005. Продукты, основанные на EFI, UEFI и спецификациях инструментария, доступны через независимых производителей BIOS, например, American Megatrends (AMI) и Insyde Software.
В январе 2018 года союз Google, Facebook, Horizon Computing Solutions и Two Sigma представил проект LinuxBoot, его авторы намерены найти альтернативу UEFI-прошивкам на материнских плат. Ранее осенью 2017 инженер Google Рональд Минних рассказал на LinuxCon о NERF (Non-Extensible Reduced Firmware), ещё одной инициативе, призванной убрать с компьютеров UEFI. Целью разработчиков NERF является замена или отключение всех прослоек связанных с UEFI, например Intel ME и блокирование их фоновой активности. На WikiLeaks публиковались сведения о шпионских «имплантатах», внедряемых в UEFI. Авторство упомянутых закладок приписывают не Intel, хакерам из Sednit или изготовителям материнских плат, а ЦРУ.
Добавить 2 комментария
В западной прессе люди с русскими фамилиями почтительно поясняют, что «Fancy Bear» (она же Sednit) — «это русские разведагентства». Eset догадывается, что разведчики в разведке «работают» на все разведки одновременно, а кому они при этом служат — это отдельный вопрос, ответ на который публично озвучивать не принято. Поэтому словаки просто уточняют сферу демонстративно выказываемых интересов группы. И дополнительно показывают гистограмму присутствия членов группировки в онлайне, то есть предположительную географию обитания неких неустановленных граждан (.pdf):
P. S. В часовом поясе UTC+3 находится значительное число стран со склонностью населения к программированию.
Офис ауэрс хакиров — особенно доставляет.