Tego wirusa nie usunie nawet wymiana dysków w komputerze na nowe. Jak bronić się przed LoJax?
Takiego rootkita jeszcze nie było. LoJax jako pierwsze w historii złośliwe oprogramowanie zagnieżdża się w UEFI, a więc wewnętrznym systemie naszego komputera. Nawet wymiana wszystkich dysków w komputerze nie usunie tego drania.
Badacze z firmy ESET odkryli pierwszy w historii rootkit działający na poziomie UEFI, czyli następcy BIOS-u. Omawiane zagrożenie zagnieżdża się w jednym z układów scalonych na płycie głównej komputera, gdzie przechowywany jest UEFI, czyli system sterujący działaniem każdego współczesnego komputera.
Jak wskazuje Kamil Sadkowski, starszy analityk zagrożeń w ESET, LoJax po przejęciu kontroli nad systemem operacyjnym, nadpisuje UEFI złośliwym kodem. Ten sam kod, każdorazowo, gdy użytkownik uruchamia komputer, odpowiada za aktywowanie złośliwego programu (konia trojańskiego) w systemie operacyjnym ofiary. Wówczas zagrożenie komunikuje się z serwerem cyberprzestępców C&C i pobiera z niego, a następnie instaluje w systemie docelowe zagrożenie.
Badacze ESET wskazują, że za LoJax stoi grupa cyberprzestępcza Sednit, znana również jako APT28, Fancy Bear, Sofacy lub STRONTIUM. Jej członkami są hakerzy, którzy od ponad 10 lat wielokrotnie atakowali wybrane cele w krajach Europy Wschodniej i Azji.
Jak chronić się przed LoJax? Tak jak zawsze – zdrowym rozsądkiem.
By mogło dość do infekcji naszego UEFI, najpierw musimy wpuścić złośnika na nasz komputer. Cyberprzestępcy mogą posłużyć się dodatkowym złośliwym oprogramowaniem – by przeniknąć zabezpieczenia naszego systemu – lub ukryć je w pozornie pożytecznej aplikacji.
Po raz wtóry apelujemy: nie korzystajmy z nieautoryzowanych narzędzi do serwisowania i tuningu naszych komputerów osobistych. Posługujmy się wyłącznie tymi narzędziami, jakie udostępnia na swojej witrynie producent naszego sprzętu. Nie ignorujmy aktualizacji naszego systemu i aplikacji – te często zawierają łatki usuwające luki w zabezpieczeniach. Nie używajmy programów typu crack. Nie wyłączajmy też modułów bezpieczeństwa w naszym systemie – chyba że korzystamy z aktywnego i włączonego rozwiązania firmy trzeciej.
Dodatkowo, jeżeli kiedyś wyłączaliśmy w ustawieniach UEFI naszego komputera Rozruch chroniony (secure boot) – czas zmienić decyzję. Tryb bezpiecznego rozruchu uniemożliwia załadowanie do pamięci UEFI danych bez ważnego podpisu cyfrowego – w tym nowowykrytego przez ESET zagrożenia.
