ESET saugumo tyrėjai nustatė kibernetinę ataką, kuri patekimui į kompiuterį naudoja UEFI šakninį virusą (angl. rootkit). „LoJax“ pavadintas kenkėjas buvo naudojamas žinomos kibernetinių nusikaltėlių grupuotės „Sednit“, kuri vykdė atakas Vidurio ir Rytų Europoje. Tai yra pirmoji tokio pobūdžio ataka, kurią pavyko atskleisti.
UEFI šakniniai kenkėjai yra itin pavojingi įrankiai, naudojant juos kibernetinių atakų vykdymui. Jie pasitarnauja kaip raktas į visą kompiuterį, kurį itin sunku nustatyti ir kuris gali išlikti, net ir imantis saugumo priemonių, kaip operacinės sistemos perinstaliavimo ar standžiojo disko pakeitimo.
Be to, norint išvalyti sistemą nuo UEFI šakninio viruso, reikia kur kas gilesnių IT žinių, nei jų turi paprastas vartotojas.
ESET Lietuva IT inžinierius Ramūnas Liubertas tikina, kad kibernetinės grėsmės kasdien tampa vis labiau pažangios, o bazinės antivirusinės apsaugos nebepakanka.
„Sednit“, dar žinoma tokiais pavadinimais, kaip „APT28“, „STRONTIUM“, „Sofacy“ ar „Fancy Bear“, yra viena aktyviausių tikslines atakas rengiančių kibernetinių nusikaltėlių grupuočių, savo veiklą vykdanti nuo 2004 m. Jai priskiriamos tokios atakos, kaip 2016 m. JAV rinkimams turėjęs įtakos įsilaužimas į Demokratinį nacionalinį komitetą, įsilaužimas į pasaulinį televizijos tinklą „TV5Monde“ ir Pasaulio antidopingo agentūros el. laiškų nutekinimas.
Ši nusikaltėlių grupuotė savo arsenale turi diversifikuotų kenksmingų programų ir įvairių įrankių, dalį kurių ESET tyrėjams pavyko ištirti ir aprašyti specialiose ataskaitose bei tinklaraščio „WeLiveSecurity“ įrašuose.
Pirmą kartą aptiktas UEFI šakninis virusas yra rimtas įspėjimas visiems vartotojams ir organizacijoms, ignoruojantiems rizikas, susijusias su įmontuotos programinės įrangos (angl. firmware) modifikacijomis.
„Dabar nėra jokių pasiteisinimų nevykdyti įmontuotos programinės įrangos nuskaitymo. Taip, su UEFI susijusios atakos yra itin retos, tačiau jų vykdymas leidžia nusikaltėliams perimti pilną kompiuterio kontrolę“, – tikina Jean-Ian Boutin.
ESET yra vienintelė „endpoint“ saugumo sprendimų kūrėja, savo namų ir verslo vartotojams skirtuose produktuose naudojanti papildomą apsaugos sluoksnį – UEFI skaitytuvą, kuris aptinka kenksmingus komponentus kompiuterio įmontuotoje programinėje įrangoje.
Daugiau informacijos apie „Sednit“ kampaniją, naudojančią pirmą kartą atrastą UEFI šakninį virusą, skaitykite ESET ataskaitoje „LoJax: First UEFI rootkit found in the wild, courtesy of the Sednit group“.