Eksperci z ESET dokonali niepokojącego odkrycia. Zidentyfikowali wirusa LoJax, który na cel bierze komputery mieszkańców Europy centralnej i wschodniej, w tym Polaków. Wykryte zagrożenie zagnieżdża się w systemie UEFI (następcy BIOS-u) i jest niezwykle trudne do usunięcia – formatowanie dysku nie pomoże! Jak donoszą eksperci, za wyrachowanym atakiem stoi znana grupa cyberprzestępcza Sednit, która ma na swoim koncie ataki m.in. na placówki dyplomatyczne i instytucje finansowe na całym świecie, w tym również jedną z polskich instytucji finansowych.
Badacze z ESET odkryli pierwszy w historii cyberbezpieczeństwa rootkit działający na poziomie UEFI, czyli następcy BIOS-u. Wykryte zagrożenie zagnieżdża się w jednym z układów scalonych na płycie głównej komputera, gdzie przechowywany jest UEFI, czyli system sterujący działaniem każdego współczesnego peceta.W jaki sposób dochodzi do infekcji? Jak wskazuje Kamil Sadkowski, starszy analityk zagrożeń w ESET, LoJax, po przejęciu kontroli nad systemem operacyjnym, nadpisuje UEFI złośliwym kodem. Ten sam kod, każdorazowo, gdy użytkownik uruchamia komputer, odpowiada za aktywowanie złośliwego programu (konia trojańskiego) w systemie operacyjnym ofiary. Wówczas zagrożenie komunikuje się z serwerem cyberprzestępców C&C i pobiera z niego, a następnie instaluje w systemie docelowe zagrożenie.
"Bez stosownego zabezpieczenia LoJax jest wyjątkowo trudny do usunięcia – formatowanie dysku, a nawet jego wymiana, nie eliminują wirusa z zainfekowanego komputera. Wirus nie ukrywa się bowiem w systemie lub na dysku, ale w układzie scalonym płyty głównej"
– wyjaśnia Kamil Sadkowski z ESET.
Grupa przestępcza Sednit odpowiedzialna za LoJax
Jak wskazują badacze ESET za zagrożeniem stoi grupa cyberprzestępcza Sednit, znana również jako APT28, Fancy Bear, Sofacy lub STRONTIUM. Jej członkami są hakerzy, którzy od ponad 10 lat, wielokrotnie atakowali wybrane cele w krajach Europy Wschodniej i Azji. Warto przypomnieć, że ta sama grupa Sednit cztery lata temu zaatakowała stronę polskiej instytucji finansowej. Atak polegał wtedy na wstrzyknięciu do źródła strony złośliwego kodu, który przekierowywał każdego odwiedzającego serwis do innej złośliwej witryny. W kolejnym kroku, wykorzystując lukę w przeglądarce Internet Explorer, doprowadzano do infekcji komputerów nieświadomych zagrożenia internautów. Trzy lata później grupa zaatakowała ponownie - rozesłała falę wiadomości mailowych do pracowników ministerstwa spraw zagranicznych jednego z europejskich państw. Wiadomości zawierały złośliwy dokument o nazwie „Trump's_Attack_on_Syria_English.docx”, który w odniesieniu do ówczesnej sytuacji politycznej, swoją nazwą zachęcała do otwarcia pliku. Ostatnia aktywność grupy miała miejsce w kwietniu tego roku. Wówczas jej celem stali się pracownicy ambasad, ministerstw spraw zagranicznych i placówek dyplomatycznych aż 18 krajów, m.in. z Rosji, Egiptu, Korei, Turcji, czy Urugwaju. Stworzone przez nich zagrożenie wykrywane przez ESET pod nazwą Zebrocy aktywowało się po pobraniu zainfekowanego załącznika .doc z wiadomości e-mail, następnie wykonywało rozkazy cyberprzestępców i zbierało informacje o użytkownikach zainfekowanych komputerów.
Jak chronić się przed LoJax
By skutecznie zabezpieczyć się przed infekcją LoJax, konieczne jest posiadanie rozwiązania, które ma możliwość analizy i zabezpieczenia przed infekcją właśnie UEFI. Rozwiązania antywirusowe firmy ESET posiadają taką funkcjonalność i są prawdopodobnie jedynym producentem oprogramowania zabezpieczającego, które skanuje UEFI w poszukiwaniu zagrożeń i wykrywa w nim ewentualne wirusy. Jeśli nie wiesz, czy Twój komputer został zainfekowany LoJax, pobierz wersję testową programu ESET (np. z www.eset.pl) i uruchom skanowanie komputera.
"Jeżeli zagrożenie EFI/LoJax.A zostanie wykryte na naszym komputerze, niestety nie pozostaje nic innego, tylko tzw. reflashing firmware, czyli przywrócenie UEFI do ustawień fabrycznych"
– tłumaczy Kamil Sadkowski z ESET.
Pełna analiza zagrożenia LoJax dostępna jest w języku angielskim w przygotowanym przez ESET raporcie.