Slovenská společnost ESET objevila škodlivý kód, který infikuje UEFI (nástupce BIOSu). „O UEFI rootkitech, tedy hrozbách, se hovořilo zatím jen jako o konceptu. Tento objev ale potvrzuje, že je lze reálně zneužít k útoku,“ popisuje Jean-Ian Boutin, který vedl výzkum hrozby, jíž ESET dal jméno LoJax.
Útočníci v rámci LoJax jsou schopní napsat škodlivý UEFI modul a vložit ho do systémové SPI flash paměti. Kód se pak načte během bootovacího procesu. Řešením je flashnutí firmwaru. Pokud to z nějakého důvodu není možné, je třeba vyměnit základní desku. Jako ochranu ESET doporučuje zapnutí Secure Boot a také pravidelnou aktualizaci firmwaru.
ESET se domnívá, že za tímto škodlivým kódem stojí skupina Sednit, kterou lze znát také pod názvy APT28, STRONTIUM, Sofacy a Fancy Bear. Jde o aktivní skvadru, které jsou přisuzovány útoky na Demokratický národní výbor před prezidentskými volbami v roce 2016 nebo úniky e-mailů ze Světové antidopingové agentury.
„V tomto aktuálním případě skupina útočila na vládní instituce ve státech střední a východní Evropy. Z bezpečnostních důvodů ESET nebude zveřejňovat více informací o napadených,“ uvádí společnost. Útoky mířily na vládní instituce.
ESET dále uvádí, že se Sednit zřejmě inspiroval softwarem LoJack, z čehož bylo odvozeno i jméno LoJax. Tradiční LoJack slouží k vyhledávání ztracených a ukradených počítačů. Podrobnou technickou analýzu LoJaxu je možné číst zde (PDF).
