Image
28.9.2018 0 Comments

ESET analyzoval zrejme prvý škodlivý kód, ktorý infikuje priamo náhradu BIOSu. Útočí na európske vládne ciele

Bezpečnostná spoločnosť ESET objavila a analyzovala zjavne prvý škodlivý kód, ktorý infikuje UEFI, teda náhradu BIOSu v novších počítačoch. Ide o firmware základnej dosky počítača. Na základe viacerých znakov sa spoločnosť ESET domnieva, že za škodlivým kódom je skupina Sednit. Tá je podľa amerického ministerstva spravodlivosti za útokom na organizáciu Demokratickej strany krátko pred prezidentskými voľbami v roku 2016. Skupina má byť taktiež za únikom e-mailov Svetovej antidopingovej agentúry a za útokom na globálnu televíznu sieť TV5Monde. V tomto prípade skupina útočila na vládne ciele na Balkáne a v strednej a východnej Európe. Z bezpečnostných dôvodov ESET nebude zverejňovať presnejšie detaily o obetiach.

ESET túto hrozbu pomenoval LoJax. „O UEFI hrozbách sa hovorilo zatiaľ len ako o koncepte. Tiež sa vie, že niektoré môžu mať k dispozícii niektoré vládne agentúry. Zatiaľ však žiadna UEFI hrozba nebola reálne aj objavená,“ vysvetľuje Jean-Ian Boutin zo spoločnosti ESET, ktorý LoJax výskum viedol.

UEFI hrozby sú obzvlášť nebezpečné v tom, že slúžia ako kľúč do celého počítača a zároveň dokážu prežiť viaceré bezpečnostné protiopatrenia, napríklad reinštaláciu operačného systému alebo výmenu hard disku. Kompletné odstránenie UEFI hrozby si vyžaduje výrazne technické dovednosti napríklad o tom, ako reflashovať firmware zariadenia. „Momentálne nevieme, ako presne sa táto konkrétna hrozba dostala do infikovaných zariadení,“ dodáva Boutin.

ESET je jediný veľký výrobca bezpečnostných riešení, ktorého produkty majú bezpečnostnú vrstvu určenú na detekciu škodlivých doplnkov vo firmwari počítača, volá sa Kontrola UEFI.

„Vďaka kontrole UEFI sú naši firemní i domáci používatelia v dobrej pozícii zbadať takýto útok a brániť sa pred ním,“ hovorí Juraj Malcho, technologický riaditeľ spoločnosti ESET.

Skupina Sednit, ktorá má byť za LoJaxom, je známa aj pod menom Fancy Bear, Sofacy, APT28 alebo STRONTIUM. Funguje minimálne od roku 2004 a má diverzifikované sady rôznych škodlivých nástrojov. Práve ich podobnosť vedie spoločnosť ESET k domnienke, že za LoJaxom je skupina Sednit.

Tvorcovia tejto hrozby sa zrejme inšpirovali anti-theft softvérom LoJack, od ktorého ESET odvodil meno tejto UEFI hrozby. LoJack slúži na vyhľadávanie stratených alebo ukradnutých laptopov. Z tohto dôvodu je aj veľmi špecifický v tom, že musí prežiť pokusy o reinštaláciu operačného systému alebo výmenu hard disku, ktorú by chcel vykonať zlodej alebo nový majiteľ laptopu. LoJack je predinštalovaný vo firmwari veľkého množstva laptopov od rôznych výrobcov a čaká na to, kým ho používatelia aktivujú.

Kompletná analýza škodlivého kódu LoJax je k dispozícii v štúdii „LoJax: First UEFI rootkit found in the wild, courtesy of the Sednit group”.

Ako sa podľa spoločnosti ESET chrániť pred UEFI hrozbami:

  • Zapnite si v zariadení Secure Boot. Ide o základnú ochranu pred útokmi cielenými na UEFI. LoJax nebol správne podpísaný a tento mechanizmus by ho zablokoval.
  • Tak ako pri softvéri, aj firmware by si mali používatelia aktualizovať. Informácie o aktualizáciách by mali byť k dispozícii na webstránke výrobcu vašej základnej dosky.

Ako zo zariadenia odstrániť LoJax:

  • V tomto konkrétnom prípade je potrebné reflashovať SPI flash memory. Ak to z akéhokoľvek dôvodu pre používateľa nie je možné, je potrebné vymeniť základnú dosku infikovaného zariadenia.
 
 

Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Tlačové správy

Samsung uvádza na slovenský trh päticu nových modelov slúchadiel AKG so štúdiovou kvalitou zvuku

14.06.2019 15:13

Spoločnosť Samsung predstavuje slovenským zákazníkom najnovší rad bezdrôtových slúchadiel so štúdiovou kvalitou zvuku a čistým a funkčným dizajnom prémiovej značky AKG. Kvalitné spracovanie skombinova ...

Tlačové správy

Preteky SHELL ECO-MARATHON EUROPE opäť preveria úspornú jazdu Slovákov

14.06.2019 14:41

Tri slovenské študentské tímy sa pridajú k tisíckam európskych študentov, ktorí mieria na medzinárodné preteky Shell Eco-marathon Europe 2019. Na novej trati v priestoroch Mercedes-Benz World vo Weybr ...

Tlačové správy

Spoločnosť Sygic vydáva doplnok Dashcam budúcej generácie pre svoju mobilnú navigáciu

14.06.2019 13:47

Spoločnosť Sygic, celosvetový líder v oblasti navigácie s viac ako 25-ročnými skúsenosťami, predstavila nový doplnok pre mobilné telefóny – doplnok Dashcam pre svoju špičkovú GPS navigáciu. Novinka pr ...

q

Žiadne komentáre

Vyhľadávanie

SWAN_062019

Najnovšie videá



PC forum button