ESET odhalil LoJax, první rootkit UEFI zneužitý pro kybernetický útok

Praha 27. října 2018 – Bezpečnostním expertům společnosti ESET se podařilo odhalit kybernetický útok, který využívat rootkit UEFI pro infiltraci do počítačů obětí. Tento rootkit, který společnost ESET nazvala LoJax, byl součástí škodlivé kampaně proti několika významným cílům ve střední a východní Evropě, za níž stojí známá hackerská skupina Sednit. Jde o první veřejně známý útok tohoto druhu na světě.

„I když jsme si byli vědomi, že teoreticky lze rootkity UEFI zneužít, náš objev potvrzuje, že jsou používány aktivní skupinou APT. Takže už nejsou jen zajímavým tématem na konferencích, ale skutečnou hrozbou,“ vysvětluje Jean-Ian Boutin, hlavní bezpečnostní analytik společnosti ESET, který vedl výzkum škodlivých kampaní LoJax a Sednit.

Rootkity UEFI jsou vnímány jako extrémně nebezpečný nástroj pro kybernetické útoky. Fungují jako klíč k celému počítači, jsou těžko odhalitelné a schopné přežít opatření, jež mají zajistit počítačovou bezpečnost, jako je například přeinstalace operačního systému nebo dokonce i výměna pevného disku. Navíc i čištění systému, který byl napaden rootkitem UEFI, vyžaduje znalosti a schopnosti, které jsou nad síly běžného uživatele, například flashing firmwaru.

Skupina Sednit, známá také pod názvy APT28, STRONTIUM, Sofay nebo Fancy Bear, je jednou z nejaktivnějších skupin APT. Existuje nejméně od roku 2004 a údajně stojí za hackerskými útoky na počítače Demokratické strany během prezidentských voleb ve Spojených státech v roce 2016, na globální televizní síť TV5Monde, za únikem e-mailů ze Světové antidopingové agentury a mnoha dalšími akcemi.

Tato skupina má ve svém arzenálu diverzifikovaný set nástrojů pro malware, z nichž některé popisují analytici společnosti ESET ve svém white paperu a v několika článcích na webu WeLiveSecurity.com.

Objev prvního rootkitu UEFI v počítačové síti je apelem na uživatele a společnosti, které často ignorují rizika spojená s úpravami firmwaru.

„V současné době neexistuje žádná omluva pro vylučování firmwaru z běžného skenování počítače. Ano, útoky zneužívající UEFI jsou extrémně vzácné a doposud se většinou omezovaly na fyzickou manipulaci s napadeným počítačem. Takový útok, pokud by byl úspěšný, by však vedl k získání naprosté kontroly nad počítačem s téměř nulovou šancí ho odhalit,“ varuje Jean-Ian Boutin.

Společnost ESET je jediným významným poskytovatelem bezpečnostních řešení pro monitoring koncových zařízení, který přidává speciální vrstvu ochrany ESET UEFI Scanner určenou k detekci škodlivých komponent ve firmwaru počítače.

„Díky skeneru ESET UEFI jsou naši zákazníci i obchodní partneři ve výhodě, protože tyto útoky mohou zachytit a bránit se,“ uzavírá Juraj Malcho, technický ředitel globální centrály společnosti ESET.

Analýzu škodlivé kampaně Sednit, která využívá rootkit UEFI, detailně popisuje dokument LoJax: První rootkit UEFI detekovaný v síti díky skupině Sednit.

O společnosti ESET

Společnost ESET již od roku 1987 vyvíjí bezpečnostní software pro domácí i firemní uživatele. Ten drží rekordní počet ocenění a díky němu může více než 100 milionů uživatelů bezpečně objevovat možnosti internetu. Široké portfolio produktů ESET pokrývá všechny populární platformy včetně mobilních a poskytuje neustálou proaktivní ochranu při minimálních systémových nárocích. ESET se stal první společností, která díky dlouhodobě vysoké úrovni ochrany získala 100 ocenění prestižního magazínu Virus Bulletin VB100. Za těmito úspěchy stojí zejména dlouhodobé investice do vývoje. Jen v České republice nalezneme tři vývojová centra a to v Praze, Jablonci nad Nisou a Brně. Společnost ESET má lokální zastoupení v Praze, celosvětovou centrálu v Bratislavě a disponuje rozsáhlou sítí partnerů ve více než 200 zemích světa.