Hlavní navigace

Byl objeven škodlivý kód LoJax útočící na UEFI. Řádí i ve střední Evropě

Sdílet

Jan Sedlák

Slovenská společnost ESET objevila škodlivý kód, který infikuje UEFI (nástupce BIOSu). „O UEFI rootkitech, tedy hrozbách, se hovořilo zatím jen jako o konceptu. Tento objev ale potvrzuje, že je lze reálně zneužít k útoku,“ popisuje Jean-Ian Boutin, který vedl výzkum hrozby, jíž ESET dal jméno LoJax.

Útočníci v rámci LoJax jsou schopní napsat škodlivý UEFI modul a vložit ho do systémové SPI flash paměti. Kód se pak načte během bootovacího procesu. Řešením je flashnutí firmwaru. Pokud to z nějakého důvodu není možné, je třeba vyměnit základní desku. Jako ochranu ESET doporučuje zapnutí Secure Boot a také pravidelnou aktualizaci firmwaru.

ESET se domnívá, že za tímto škodlivým kódem stojí skupina Sednit, kterou lze znát také pod názvy APT28, STRONTIUM, Sofacy a Fancy Bear. Jde o aktivní skvadru, které jsou přisuzovány útoky na Demokratický národní výbor před prezidentskými volbami v roce 2016 nebo úniky e-mailů ze Světové antidopingové agentury.

„V tomto aktuálním případě skupina útočila na vládní instituce ve státech střední a východní Evropy. Z bezpečnostních důvodů ESET nebude zveřejňovat více informací o napadených,“ uvádí společnost. Útoky mířily na vládní instituce.

ESET dále uvádí, že se Sednit zřejmě inspiroval softwarem LoJack, z čehož bylo odvozeno i jméno LoJax. Tradiční LoJack slouží k vyhledávání ztracených a ukradených počítačů. Podrobnou technickou analýzu LoJaxu je možné číst zde (PDF).

Našli jste v článku chybu?