Een team van security analisten ontdekt dat er een gevaarlijk nieuw wapen gebruikt door hackers - de Lojax UEFI rootkit die blijkbaar is de eerste van zijn soort te worden gebruikt tegen gebruikers. De verzamelde informatie toont dat wordt uitgevoerd door de Sednit hacken fractie tegen high-doelwitten in Europa.
De Lojax UEFI Rootkit Gebruikt tegen doelen in Europa
Een ander gevaarlijk wapen gebruikt door criminelen is ontdekt in een lopende aanval. De groep achter het de Sednit collectieve van hackers die een campagne tegen bedrijven en personen in Centraal- en Oost-Europa hebben gestart. De belangrijkste payload heet Lojax (alternatief als LoJack) die een UEFI rootkit, een van de meest gevaarlijke vormen van malware.
Per definitie is deze kwaadaardige code die de UEFI-code wordt gebruikt om de boot-up normaal bedienen infecteert. Ze zijn zeer moeilijk op te sporen en te voorkomen, een gevaarlijk effect hiervan is het feit dat veel van hen besturingssysteem herinstallatie en zelfs fysieke schijf vervanging kan weerstaan.
Het lijkt erop dat een van de oorsprong van de bedreiging is een trojanized steekproef van LoJack, een anti-diefstal software die is ontwikkeld door een legitiem ontwikkelaar. Het is ontworpen om de host-computers te controleren en op de hoogte van eventuele incidenten. Het is geïmplementeerd als een UEFI / BIOS-module en de oplossing wordt geleverd met vooraf geïnstalleerde in de firmware van een groot aantal computers in afwachting van een handmatige activering.
De kwaadaardige monsters van de Lojax UEFI rootkit werden voor het eerst ontdekt mei 2018 dat in verbinding staat met een kwaadaardige server in plaats van de legitieme één. De eerste campagne vooral gericht op de Balkan, Oost-Europa en de landen van Midden-Europa. Op dit punt werden de hackers hebben een Trojaans paard afgeleide van de legitieme oplossing te hebben gemaakt.
Nader onderzoek naar de zaak bleek dat verschillende onderdelen deel uitmaken van de infectie:
- SedUploader - een eerste fase achterdeur die verantwoordelijk is voor de infectie.
- XAgent - Dit is de belangrijkste backdoor code dat is de belangrijkste kwaadaardige motor.
- Xtunnel - Een netwerk tunnel die in staat is om het netwerkverkeer relais tussen de C&C-server en de geïnfecteerde gastheer.
In de praktijk kan de Lojax UEFI rootkit hackers low-level toegang tot de geïnfecteerde computers dat is een kritieke kwetsbaarheid. Infecties met deze bedreiging kan toestaan dat het leveren en uitvoeren van malware voordat het besturingssysteem wordt opgestart en de veiligheid procedures zijn gestart.
Gebruikers kunnen zelf voorkomen door het inschakelen van de Boot optie Secure. Wanneer deze geactiveerd is elke firmware onderdeel van de boot processen moet ondertekend en geverifieerd. Dit is de aanbevolen basis verdediging tegen mogelijke Lojax UEFI rootkit infecties. Gebruikers wordt ook geadviseerd om toezicht te houden en de nieuwste patches van het moederbord leveranciers.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: