Tento rootkit společnost ESET nazvala LoJax a byl součástí škodlivé kampaně proti několika významným cílům ve střední a východní Evropě, za níž stojí známá hackerská skupina Sednit. Jde o první veřejně známý útok tohoto druhu na světě.
„I když jsme si byli vědomi, že teoreticky lze rootkity UEFI zneužít, náš objev potvrzuje, že jsou používány aktivní skupinou APT. Takže už nejsou jen zajímavým tématem na konferencích, ale skutečnou hrozbou,“ vysvětluje Jean-Ian Boutin, hlavní bezpečnostní analytik společnosti ESET, který vedl výzkum škodlivých kampaní LoJax a Sednit.
Rootkity UEFI jsou vnímány jako extrémně nebezpečný nástroj pro kybernetické útoky. Fungují jako klíč k celému počítači, jsou těžko odhalitelné a schopné přežít opatření, jež mají zajistit počítačovou bezpečnost, jako je například přeinstalace operačního systému nebo dokonce i výměna pevného disku. Navíc i čištění systému, který byl napaden rootkitem UEFI, vyžaduje znalosti a schopnosti, které jsou nad síly běžného uživatele, například flashing firmwaru.
Skupina Sednit, známá také pod názvy APT28, STRONTIUM, Sofay nebo Fancy Bear, je jednou z nejaktivnějších skupin APT. Existuje nejméně od roku 2004 a údajně stojí za hackerskými útoky na počítače Demokratické strany během prezidentských voleb ve Spojených státech v roce 2016, na globální televizní síť TV5Monde, za únikem e-mailů ze Světové antidopingové agentury a mnoha dalšími akcemi.
Tato skupina má ve svém arzenálu diverzifikovaný set nástrojů pro malware, z nichž některé popisují analytici společnosti ESET ve svém white paperu a v několika článcích na webu WeLiveSecurity.com.
Objev prvního rootkitu UEFI v počítačové síti je apelem na uživatele a společnosti, které často ignorují rizika spojená s úpravami firmwaru.
„V současné době neexistuje žádná omluva pro vylučování firmwaru z běžného skenování počítače. Ano, útoky zneužívající UEFI jsou extrémně vzácné a doposud se většinou omezovaly na fyzickou manipulaci s napadeným počítačem. Takový útok, pokud by byl úspěšný, by však vedl k získání naprosté kontroly nad počítačem s téměř nulovou šancí ho odhalit,“ varuje Jean-Ian Boutin.
Společnost ESET je jediným významným poskytovatelem bezpečnostních řešení pro monitoring koncových zařízení, který přidává speciální vrstvu ochrany ESET UEFI Scanner určenou k detekci škodlivých komponent ve firmwaru počítače.
„Díky skeneru ESET UEFI jsou naši zákazníci i obchodní partneři ve výhodě, protože tyto útoky mohou zachytit a bránit se,“ uzavírá Juraj Malcho, technický ředitel globální centrály společnosti ESET.
Analýzu škodlivé kampaně Sednit, která využívá rootkit UEFI, detailně popisuje dokument LoJax: První rootkit UEFI detekovaný v síti díky skupině Sednit.