Дослідники ESET виявили перший UEFI руткіт

Компанія ESET — лідер у галузі інформаційної безпеки — повідомляє про виявлення кібератаки з використанням UEFI руткіту для інфікування комп’ютерів жертв. Це шкідливе програмне забезпечення, яке отримало назву Lojax, використала відома група Sednit для атаки на урядові організації на Балканах, а також в Центральній та Східній Європі.

«Хоча теоретично ми знали про існування UEFI руткітів, відкриття підтвердило застосування загрози активною APT-групою. Тому тепер це шкідливе програмне забезпечення не просто цікава тема для обговорення, а й реальна загроза», — розповідають дослідники ESET.

UEFI руткіти є надзвичайно небезпечними інструментами, які можуть бути використані для отримання доступу до всього комп'ютера. При цьому це шкідливе програмне забезпечення може залишатися в системі після повторної інсталяції операційної системи або навіть заміни жорсткого диску. Тоді як очищення системи від такої загрози потребує спеціальних знань та не під силу звичайному користувачу.

Виявлення першого у реальному середовищі UEFI руткіта має стати тривожним сигналом для користувачів та організацій, які часто ігнорують ризики, пов'язані з модифікаціями вбудованого програмного забезпечення.

«Тепер немає підстав для виключення вбудованого програмного забезпечення з регулярного сканування. Атаки з використанням UEFI трапляються дуже рідко, і до цього часу вони в основному обмежувались фізичним втручанням у певний комп'ютер. Однак така атака може призвести до отримання зловмисниками повного контролю над комп'ютером із майже повною стійкістю у системі», — розповідають спеціалісти ESET.

Варто зазначити, що ESET став єдиним із основних постачальників рішень для захисту робочих станцій, який додав сканер UEFI — спеціальний рівень захисту для виявлення шкідливих компонентів у вбудованому програмного забезпеченні комп’ютера.

«Завдяки скануванню UEFI користувачі ESET можуть виявляти подібні атаки та забезпечувати захист від них», — підсумовує Журай Малчо, головний технічний директор компанії ESET.

Нагадаємо, займаючись злочинною активністю щонайменше з 2004 року, Sednit залишається однією з найбільш активних на сьогодні APT-груп. Саме Sednit стоїть за атаками на Демократичний національний комітет у США у 2016 році, на глобальну телевізійну мережу TV5Monde, витоком даних електронної пошти Всесвітнього антидопінгового агентства та багатьма іншими.

Детальний аналіз спеціалістів ESET кампанії Sednit із використанням першого UEFI руткіта, зафіксованого у реальному середовищі, доступний за посиланням.