Οι ερευνητές της ESET ανακάλυψαν μία κυβερνοεπίθεση, που χρησιμοποίησε ένα rootkit UEFI για να εισχωρήσει στους υπολογιστές των θυμάτων. Το rootkit, που ονομάστηκε LoJax από την ESET, ήταν μέρος μιας εκστρατείας της περιβόητης ομάδας Sednit με στόχους αρκετούς οργανισμούς υψηλού προφίλ στην Κεντρική και Ανατολική Ευρώπη. Πρόκειται για την πρώτη επίθεση αυτού του είδους που γίνεται δημοσίως γνωστή.
«Αν και θεωρητικά γνωρίζαμε ότι υπήρχαν rootkits UEFI, η ανακάλυψή μας αυτή επιβεβαιώνει ότι χρησιμοποιούνται από μια ενεργή ομάδα APT. Έτσι, δεν αποτελεί πλέον απλά ένα ενδιαφέρον θέμα συζήτησης σε συνέδρια, αλλά μια πραγματική απειλή», σχολιάζει ο Jean-Ian Boutin, senior security researcher της ESET και επικεφαλής της έρευνας για το LoJax και την εκστρατεία της ομάδας Sednit.
Τα rootkits UEFI είναι εξαιρετικά επικίνδυνα εργαλεία για την εξαπόλυση επιθέσεων στον κυβερνοχώρο. Χρησιμεύουν ως κλειδί για ολόκληρο τον υπολογιστή, είναι δύσκολο να εντοπιστούν και μπορούν να αντιπαρέλθουν μέτρα κυβερνοασφάλειας, όπως την επανεγκατάσταση του λειτουργικού συστήματος ή ακόμα και την αντικατάσταση σκληρού δίσκου. Επιπλέον, ακόμη και ο καθαρισμός ενός συστήματος που έχει μολυνθεί με ένα rootkit UEFI απαιτεί γνώσεις πολύ πιο εξειδικευμένες από αυτές που διαθέτει ένας τυπικός χρήστης, όπως το το flashing στο firmware.
Η ομάδα Sednit, επίσης γνωστή ως APT28, STRONTIUM, Sofacy ή Fancy Bear, είναι μία από τις πιο δραστήριες ομάδες APT με δράση τουλάχιστον από το 2004. Φέρεται ότι η ομάδα αυτή βρίσκεται πίσω από την παραβίαση των ηλεκτρονικών υπολογιστών της Εθνικής Επιτροπής των Δημοκρατικών, που επηρέασε τις εκλογές του 2016 στις ΗΠΑ, το hacking του παγκόσμιου τηλεοπτικού δικτύου TV5Monde, τη διαρροή email του Παγκόσμιου Οργανισμού κατά της Φαρμακοδιέγερσης και άλλων πολλών συμβάντων.
Αυτή η ομάδα διαθέτει ένα σύνολο ποικίλων και διαφορετικών εργαλείων malware, σε πολλά από τα οποία έχουν αναφερθεί τεκμηριωμένα οι ερευνητές της ESET σε σχετικό white paper καθώς και σε πολλά blogposts στο WeLiveSecurity.
Η ανακάλυψη του πρώτου in-the-wild rootkit UEFI αποτελεί μία προειδοποίηση για τους χρήστες και τους οργανισμούς, που συχνά αγνοούν τους κινδύνους που συνδέονται με τις τροποποιήσεις του firmware.
«Πλέον, δεν υπάρχει δικαιολογία για την εξαίρεση του firmware από τη διαδικασία της τακτικής σάρωσης. Ναι, οι επιθέσεις που σχετίζονται με το UEFI είναι εξαιρετικά σπάνιες και μέχρι τώρα περιορίζονταν κυρίως στη φυσική παραβίαση του υπολογιστή-στόχου. Ωστόσο, μια τέτοια επίθεση, αν πετύχει, θα οδηγήσει στον πλήρη έλεγχο ενός υπολογιστή, με σχεδόν πλήρη ανθεκτικότητα», σχολιάζει ο Jean-Ian Boutin.
Η ESET είναι ο μόνος μεγάλος κατασκευαστής λύσεων ασφάλειας endpoint που προσθέτει ένα ειδικό επίπεδο προστασίας, το ESET UEFI Scanner, ειδικά για την ανίχνευση κακόβουλων στοιχείων στο firmware ενός υπολογιστή.
«Χάρη στον ESET UEFI Scanner, οι πελάτες μας, τόσο οι καταναλωτές όσο και οι επιχειρήσεις, θα έχουν τη δυνατότητα να εντοπίζουν τέτοιες επιθέσεις και να προστατεύονται από αυτές», καταλήγει ο Juraj Malcho, Chief Technology Officer της ESET.