Et team af sikkerhed analytikere opdaget en farlig nyt våben bruges af hackere - den Lojax UEFI rootkit som tilsyneladende er den første af den slags, der skal bruges mod brugere. De indsamlede oplysninger om det viser, at det drives af Sednit hacking gruppe mod højt profilerede mål i Europa.
Den Lojax UEFI Rootkit bruges mod mål i Europa
En anden farlig våben brugt af kriminelle er blevet opdaget i et igangværende angreb. Gruppen bag det er den Sednit kollektive af hackere, der har indledt en kampagne mod virksomheder og enkeltpersoner i Central- og Østeuropa. Det vigtigste nyttelast hedder Lojax (alternativt kendt som LoJack) som er en UEFI rootkit, en af de farligste typer af malware.
Per definition er skadelig kode, der inficerer UEFI kode, der bruges til at styre boot-up-operationer. De er meget svære at opdage og forhindre, en farlig effekt af dette er det faktum, at mange af dem kan modstå operativsystemet geninstallation og endda fysisk udskiftning disk.
Det fremgår, at en af årsagerne til truslen er en trojanized prøve af LoJack, en anti-tyveri software udviklet af en legitim udvikler. Den er designet til at overvåge værtscomputere og underrette om eventuelle hændelser. Det er implementeret som en UEFI / BIOS-modulet og løsningen kommer pre-installeret i firmwaren i mange computere afventer manuel bruger aktivering.
De ondsindede prøver af Lojax UEFI rootkit blev først påvist i maj 2018 at kommunikeret med en ondsindet server i stedet for den legitime én. Den oprindelige kampagne målrettet primært Balkan, Østeuropa og lande fra Centraleuropa. På dette tidspunkt blev anset for at have gjort en trojansk derivat af den legitime løsning hackere.
Yderligere undersøgelse af sagen viste, at flere komponenter er en del af infektionen:
- SedUploader - En første trins bagdør som er ansvarlig for infektionen.
- XAgent - Dette er den vigtigste bagdør kode, der er det vigtigste ondsindet motor.
- Xtunnel - Et netværk tunnel, der er i stand til at videresende netværkstrafikken mellem C&C server og den inficerede vært.
I praksis Lojax UEFI rootkit giver hackere lavt niveau adgang til de inficerede computere, som er en kritisk sårbarhed. Infektioner med denne trussel kan gøre det muligt at levere og udføre malware, før styresystemet er startet og sikkerhedsprocedurer startes.
Brugere kan forhindre sig selv ved at aktivere Secure Boot. Når det er aktiveret hver firmware bestanddel af boot processer behov for at underskrevet og verificeret. Dette er den anbefalede basis forsvar mod eventuelle Lojax UEFI rootkit infektioner. Brugere er også rådes til at overvåge og anvende de nyeste patches fra bundkortet leverandører.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: