ESET odhalil první rootkit UEFI zneužitý pro kybernetický útok
Expertům společnosti ESET se podařilo odhalit kybernetický útok, který využívat rootkit UEFI pro infiltraci do počítačů obětí. Tento rootkit, který je pojmenován jako LoJax, byl součástí škodlivé kampaně proti několika významným cílům ve střední a východní Evropě, za níž stojí známá hackerská skupina Sednit. Jde o první veřejně známý útok tohoto druhu na světě.
Rootkity UEFI jsou vnímány jako extrémně nebezpečný nástroj pro kybernetické útoky. Fungují jako klíč k celému počítači, jsou těžko odhalitelné a schopné přežít opatření, jež mají zajistit počítačovou bezpečnost, jako je například přeinstalace operačního systému nebo dokonce i výměna pevného disku. „Navíc i čištění systému, který byl napaden rootkitem UEFI, vyžaduje znalosti a schopnosti, které jsou nad síly běžného uživatele, například flashing firmwaru,“ uvádí ESET.
Skupina Sednit, známá také pod názvy APT28, STRONTIUM, Sofay nebo Fancy Bear, je jednou z nejaktivnějších skupin APT. Existuje nejméně od roku 2004 a údajně stojí za hackerskými útoky na počítače Demokratické strany během prezidentských voleb ve Spojených státech v roce 2016, na globální televizní síť TV5Monde, za únikem e-mailů ze Světové antidopingové agentury a mnoha dalšími akcemi. Tato skupina má ve svém arzenálu diverzifikovaný set nástrojů pro malware.
Objev prvního rootkitu UEFI v počítačové síti je apelem na uživatele a společnosti, které často ignorují rizika spojená s úpravami firmwaru. „V současné době neexistuje žádná omluva pro vylučování firmwaru z běžného skenování počítače. Ano, útoky zneužívající UEFI jsou extrémně vzácné a doposud se většinou omezovaly na fyzickou manipulaci s napadeným počítačem. Takový útok, pokud by byl úspěšný, by však vedl k získání naprosté kontroly nad počítačem s téměř nulovou šancí ho odhalit,“ varuje Jean-Ian Boutin.
Analýzu škodlivé kampaně Sednit, která využívá rootkit UEFI, detailně popisuje dokument LoJax: První rootkit UEFI detekovaný v síti díky skupině Sednit.
