UEFI руткитовете са изключително опасни инструменти за осъществяване на кибератаки. Те са трудни за засичане и могат да оцелеят дори след преинсталиране на операционната система и смяна на твърдия диск. Има UEFI руткитове, които са били представяни на ниво концепция. Знае се, че те се използват от някои държавни агенции за сигурност. Досега нямаше данни, че такъв зловреден код се използва от организирани престъпни групи, разказват от ESET.
Сега обаче има прецедент. Компанията за киберсигурност ESET откри кампания на хакерската група Sednit, която атакува със собствен руткит компютри на държавни институции на Балканите и Централна и Източна Европа.
Откритието на ESET е забележително по две причини. От една страна то показва, че UEFI руткитовете са реална заплаха, а не просто любопитна тема за разговор.
От друга страна откритият руткит означава, че Sednit, позната още като APT28, STRONTIUM, Sofacy и Fancy Bear, вероятно е дори по-силна, отколкото сме предполагали досега.
ESET представи резултатите от своето проуване на 27 септември по време на конференцията Microsoft BlueHat.
Sednit е добре позната в медиите, още преди съобщението на ESET. Предполага се, че членовете й стоят зад някои значими и придобили популярност атаки. Такъв е случаят с Националния комитет на Демократическата партия, чиито имейли се появиха в публичното пространство по време на изборите в САЩ през 2016 г. Sednit се счита за извършител на атаката срещу френската медийна група TV5Monde, както и за изтичането на имейли от Световната антидопингова агенция.
Анализът на ESET показва, че авторите на атаката са направили поне един успешен опит да използват своя руткит, за да получат отдалечен контрол над компютри. Използваният зловреден код се задейства при стартирането на компютъра и е опасен, тъй като не може да бъде отстранен с преинсталиране на операционната система. Смяна на твърдия диск също не върши работа.
Как LoJack се превърна в LoJax
LoJack е легитимен софтуер против кражба на лаптопи, който комуникира с BIOS/UEFI на устройството, на което е инсталиран, за да функционира. Тъй като кампанията на Sednit използва сходен механизъм на действие, ESET я обозначава с името LoJax.
Анализът на LoJax показва няколко инструменти, с които руткитът се настанява в UEFI/BIOS. Единият събира информация от ниско ниво за настройките на системата и я записва в текстов файл. Вторият чете съдържанието на SPI флаш паметта, където се намира UEFI/BIOS. Третият инструмент добавя зловреден модул към UEFI, като по този начин инсталира руткита на системата.
Как да се предпазите
Активирането на Secure Boot може да блокира атака с LoJax. Това е основна защита от атаки срещу UEFI фърмуер и е препоръчително да я използвате. Можете да активирате Secure Boot от настройките на UEFI.
Използвайте най-новата версия на UEFI/BIOS, която е налична за дънната платка на вашия компютър. Тъй като LoJax засяга само стари компютри, проверете дали устройството ви има чипсет Platform Controller Hub, който беше представен през 2008 г.
Последствията от кампании като тази с LoJax са трудни за отстраняване. Ако искате да премахнете руткита, ще трябва да смените фърмуеъра. Това със сигурност не е процедура, с която повечето потребители могат да се справят. Единствената алтернатива е да смените дънната платка на компрометираната система.
Заключение
Следим от години активността на Sednit, която включва всичко от експлоатирането на новооткрити уязвимости до писането на собствен малуер. LoJax обаче е заплаха от друго ниво. Тази кампания е насочена към високопоставени потребители (в случая – държавни институции) и залага на рядко използвани методи за атака. Това означава, че тези потребители трябва да внимават и винаги да са подготвени.