Une équipe d'analystes de sécurité ont découvert une nouvelle arme dangereuse utilisée par les pirates - le rootkit Lojax UEFI qui est apparemment le premier du genre à être utilisé contre les utilisateurs. Les informations recueillies à ce sujet montre qu'il est géré par le groupe de piratage Sednit contre des cibles de grande envergure en Europe.
Le Lojax UEFI Rootkit utilisées contre des cibles en Europe
Une autre arme dangereuse utilisée par les criminels a été découvert lors d'une attaque en cours. Le groupe derrière le Sednit collective des pirates qui ont lancé une campagne contre les entreprises et les particuliers en Europe centrale et orientale. La charge utile principale est appelée Lojax (également connu sous LoJack) qui est un rootkit UEFI, l'un des types de logiciels malveillants les plus dangereux.
Par définition, il est un code malveillant qui infecte le code UEFI utilisé pour contrôler les opérations de démarrage. Ils sont très difficiles à détecter et prévenir, un effet dangereux de ceci est le fait que beaucoup d'entre eux peuvent supporter le système d'exploitation réinstallations et même le remplacement de disque physique.
Il semble que l'une des origines de la menace est un échantillon de LoJack cheval de troie, un logiciel anti-vol développé par un développeur légitime. Il est conçu pour surveiller les ordinateurs hôtes et signaler tout incident. Il est mis en œuvre en tant que UEFI / module BIOS et la solution est pré-installé dans le firmware de nombreux ordinateurs en attente d'activation de mode d 'emploi.
Les échantillons malicieux du rootkit Lojax UEFI ont d'abord été détectés mai 2018 qui communiquait avec un serveur malveillant au lieu de légitime. La première campagne ciblée principalement les Balkans, Europe de l'Est et dans les pays d'Europe centrale. A ce stade, les pirates se sont révélés avoir fait un dérivé de Troie de la solution légitime.
Une enquête plus approfondie sur la question a révélé que plusieurs éléments font partie de l'infection:
- SedUploader - Une porte dérobée première étape qui est responsable de l'infection.
- XAgent - Ceci est le code principal de porte dérobée qui est le principal moteur malveillant.
- Xtunnel - un tunnel de réseau qui est capable de transmettre le trafic de réseau entre le C&serveur C et l'hôte infecté.
En pratique, le rootkit Lojax UEFI permet aux pirates un accès bas niveau aux ordinateurs compromis qui est une vulnérabilité critique. Les infections à cette menace peut lui permettre de livrer et exécuter des programmes malveillants avant que le système d'exploitation démarre et les procédures de sécurité sont mis en marche.
Les utilisateurs peuvent s'empêcher en activant l'option Secure Boot. Quand il est activé chaque partie des composants du firmware des processus de démarrage a besoin de signé et vérifié. Ceci est la défense de base recommandée contre les infections rootkit possibles Lojax UEFI. Les utilisateurs sont également invités à surveiller et d'appliquer les derniers correctifs des fabricants de cartes mères.