קבוצת ההאקרים Fancy Bear, שעל פי הערכות מקושרת לממשל הרוסי, היא שעומדת מאחורי רוגלה חדשה שהתגלתה על ידי חוקרי ESET, הרוגלה החדשה הנקראית Lojax עמידה בפני התקנה של מערכת הפעלה מחדש ופירמוט של המחשב, כשהיא תוקפת את רכיבי ה-UEFI במחשב המודבק.
הרוגלה החדשה, תוקפת את ה-UEFI של המחשב, Unified Extensible Firmware Interface, רכיב שמשמש לאתחול המחשב במערכות מחשב חדשות. בעזרת כתיבה מחדש על רכיב ה-UEFI, הרוגלה יכולה לשרוד בתוך זיכרון הפלאש של המחשב המודבק, כך שהיא יכולה להשאר על גבי המחשב המודבק גם לאחר פירמוט מלא של המחשב ואפילו לאחר החלפה של כונן קשיח או כונן פלאש לאתחול המחשב.
רוטקיטים מסוג UEFI הם כלים מסוכנים ביותר המיועדים להתחלתן של מתקפות סייבר. הם משמשים כמפתח למחשב כולו, קשים לזיהוי ומסוגלים לשרוד אמצעי אבטחת סייבר, כגון התקנה מחדש של מערכת ההפעלה או אפילו החלפת דיסק קשיח. מלבד זאת, גם ניקוי מערכת הנגועה ברוטקיט מסוג UEFI דורש ידע שהינו מעבר להישג ידו של המשתמש הממוצע, כגון עדכון הקושחה.
החוקרים סירבו למסור אילו מחשבים בדיוק התגלו כנגועים ב-Lojax, אך הסכימו לומר כי הצליחו לזהות את "טביעות האצבעות" של אנשי Fancy Bear בעזרת רכיבים שונים של Lojax שנמצאו על גבי מחשבים של ארגונים ממשלתיים במדינות הבלקן ובמדינות מזרח אירופאיות.
Lojax הוא בעצם הרוטקיט (Rootkit) הראשון בעולם שהתגלה שתוקף את רכיב ה-UEFI בעולם האמיתי. עד היום, רוגלות כאלו הוצגו בעיקר כאפשרויות תקיפה תאורטיות, אם כי נמצאו מספר ממצאים אודות מכירה של כלים כאלו על ידי חברות אבטחה פרטיות ללקוחות גדולים, בעיקר ממשלתיים.
הרוגלה החדשה מחקה תוכנה חוקית בשם LoJack, כלי אנטי גניבה למחשב שנחשב לקשה במיוחד להסרה ממחשבים, כך שגם הסרה של כונן קשיח או פירמוט שלו לא תסיר את הוירוס מהמחשב, כשהוא בעצם "מתיישב" על רכיב ה-UEFI של המחשב הנגוע ולא ניתן להסרה בצורה רגילה. מאחר שהכוונה מאחורי התוכנה היא להגן על מערכות בפני גניבה, ישנה חשיבות לכך שלא יהיה ניתן להסיר אותה בהתקנה מחדש של מערכת הפעלה או החלפת דיסק קשיח. לפיכך, היא מופעלת כמודול UEFI/BIOS, עם היכולת להוסיף ולהתקיים גם באירועים כאלו. הפתרון מגיע מותקן מראש בקושחה של מספר גדול של מחשבים ניידים המיוצרים על-ידי היצרניות המוכרות בשוק.
Fancy Bear היא אחת מקבוצות ה-APT הפעילות ביותר הפועלת משנת 2004 לפחות. האמונה הרווחת היא כי הפריצה לוועידה הדמוקרטית הלאומית שהשפיעה על הבחירות בארה"ב ב-2016, הפריצה לרשת הטלוויזיה העולמית TV5Monde, דליפת המיילים של הסוכנות הבינלאומית נגד שימוש בסמים ופריצות רבות אחרות, בוצעו על-ידיה.
ההאקרים של Fancy Bear הצליחו להפוך את המוצר החוקי של LoJack לכלי נשק, שעוזר גם בעקיפה של מנגנוני האבטחה של מערכות המחשב וגם בתקיפה של המחשב, כשהוא מנצל את העובדה שתוכנות אנטי-וירוס רבות מרשות ל-LoJack להמשיך לפעול על גבי המחשב ללא כל בעיה, כשהן מניחות כי מדובר ביישום "כשר".
כרגע לא ברור כיצד הפיצו אנשי Fancy Bear את Lojax, אך על פי ההערכות בשלב זה הוא משמש בעיקר ככלי שמאפשר להאקרים להוריד רוגלות אחרות אל המחשבים הנגועים, כשהודות לעובדה שהוא נחשב לחמקן במיוחד, הוא מאפשר להאקרים להשתמש בו ככלי הפצה יעיל למחשבים נגועים.
אז איך מתגוננים בפני Lojax?
מפעילים את אופציית ה-Secure Boot במחשב שלכם, שמוודאת כי כל רכיבי החומרה במחשב שלכם, שמגיעים עם Firmware (קושחה) משלהם, מגיעים עם קושחה שאומתה בעזרת קוד חוקי וסרטיפיקציה של היצרן של אותו רכיב. קושחה שנגועה ב-Lojax לא תצליח לעבור את בדיקת ה-Secure Boot. כדי לבדוק האם האופציה מופעלת על גבי המחשב שלכם, יש לאתחל את המחשב שלכם ולהיכנס לביוס שלו, בהתאם להוראות היצרן (לרוב בעזרת מקשי ה-Del, F2 ועוד).
בנוסף מומלץ לדאוג כי גרסת הביוס (קושחת לוח האם) שלהם מעודכנת, כדי למנוע מהאקרים אפשרות להפיץ את Lojax אל המחשב שלכם.
ESET היא ספקית אבטחת המידע לנקודות קצה היחידה שהוסיפה שכבת הגנה ייעודית, סורק UEFI המיועד לזהות רכיבים זדוניים בקושחת המחשב האישי.
"הודות לסורק UEFI של ESET , הן הצרכן והן הלקוחות העסקיים שלנו נמצאים בעמדה מעולה לאיתור התקפות מסוג זה ולהגן על עצמם כנגדן", מסכם יוראי מולכו, מנהל טכנולוגיות בכיר ב-ESET.