StoryEditor

ESET zrejme odhalil skupinu, ktorá útočila na vládne ciele aj v strednej a východnej Európe

01.10.2018, 00:01
Autor:
ahgahg
ESET analyzoval pravdepodobne prvý škodlivý kód, ktorý infikuje priamo náhradu BIOSu.

Spoločnosť ESET analyzovala pravdepodobne prvý škodlivý kód, ktorý infikuje priamo náhradu BIOSu. Útočí na európske vládne ciele

Bezpečnostná spoločnosť ESET objavila a analyzovala pravdepodobne prvý škodlivý kód, ktorý infikuje UEFI, teda náhradu BIOSu v novších počítačoch. Ide o firmware základnej dosky počítača.

ESET sa domnieva na základe dostupných informácií, že za škodlivým kódom je skupina Sednit. Podľa amerického ministerstva spravodlivosti stojí práve táto skupina za útokom na organizáciu Demokratickej strany krátko pred prezidentskými voľbami v roku 2016.

Skupina zrejme tiež stojí za únikom e-mailov Svetovej antidopingovej agentúry, ale aj za útokom na globálnu televíznu sieť TV5Monde.

V tomto prípade skupina útočila na vládne ciele na Balkáne a v strednej a východnej Európe. Z bezpečnostných dôvodov však spoločnosť nechce zverejňovať bližšie detaily o obetiach.

ESET túto hrozbu pomenoval LoJax. „O UEFI hrozbách sa hovorilo zatiaľ len ako o koncepte. Tiež sa vie, že niektoré môžu mať k dispozícii niektoré vládne agentúry. Zatiaľ však žiadna UEFI hrozba nebola reálne aj objavená,“ vysvetľuje Jean-Ian Boutin zo spoločnosti ESET, ktorý LoJax výskum viedol.

​UEFI hrozby sú obzvlášť nebezpečné v tom, že slúžia ako kľúč do celého počítača a zároveň dokážu prežiť viaceré bezpečnostné protiopatrenia, napríklad reinštaláciu operačného systému alebo výmenu hard disku. Úplné odstránenie UEFI hrozby si vyžaduje výrazne technické znalosti, napr. ako reflashovať firmware zariadenia.

„Momentálne nevieme, ako presne sa táto konkrétna hrozba dostala do infikovaných zariadení,“ dodáva Boutin.

ESET je jediný veľký výrobca bezpečnostných riešení, ktorého produkty majú bezpečnostnú vrstvu určenú na detekciu škodlivých doplnkov vo firmwari počítača, volá sa Kontrola UEFI.

„Vďaka kontrole UEFI sú naši firemní i domáci používatelia v dobrej pozícii zbadať takýto útok a brániť sa pred ním,“ hovorí Juraj Malcho, technologický riaditeľ spoločnosti ESET.

​Skupina Sednit, ktorá má byť za LoJaxom, je známa aj pod menom Fancy Bear, Sofacy, APT28 alebo STRONTIUM. Funguje minimálne od roku 2004 a má diverzifikované sady rôznych škodlivých nástrojov. Práve ich podobnosť vedie spoločnosť ESET k myšlienke, že za LoJaxom je skupina Sednit.

Tvorcovia tejto hrozby sa zrejme inšpirovali anti-theft softvérom LoJack, od ktorého ESET odvodil meno tejto UEFI hrozby. LoJack slúži na vyhľadávanie stratených alebo ukradnutých laptopov. Z tohto dôvodu je aj veľmi špecifický v tom, že musí prežiť pokusy o reinštaláciu operačného systému alebo výmenu hard disku, ktorú by chcel vykonať zlodej alebo nový majiteľ laptopu.

LoJack je predinštalovaný vo firmwari veľkého množstva laptopov od rôznych výrobcov a čaká na to, kým ho používatelia aktivujú.

Ako sa podľa spoločnosti ESET chrániť pred UEFI hrozbami:

  • Zapnite si v zariadení Secure Boot. Ide o základnú ochranu pred útokmi cielenými na UEFI. LoJax nebol správne podpísaný a tento mechanizmus by ho zablokoval.
  • Tak ako pri softvéri, aj firmware by si mali používatelia aktualizovať. Informácie o aktualizáciách by mali byť k dispozícii na webstránke výrobcu vašej základnej dosky.
    Ako zo zariadenia odstrániť LoJax:
  • V tomto konkrétnom prípade je potrebné reflashovať SPI flash memory. Ak to z akéhokoľvek dôvodu pre používateľa nie je možné, je potrebné vymeniť základnú dosku infikovaného zariadenia.

Zdroj: Tlačová správa

01 - Modified: 2018-01-26 09:21:30 - Feat.: 0 - Title: Zamestnanci nevedia, ako chrániť údaje 02 - Modified: 2018-03-08 20:31:42 - Feat.: 0 - Title: Softwarový gigant ESET sa stal sponzorom Jána Volka 03 - Modified: 2019-02-11 08:51:56 - Feat.: 0 - Title: Spolumajiteľ ESETU Peter Paško: Transformujem majetok do inej podoby 04 - Modified: 2018-08-28 08:45:45 - Feat.: 0 - Title: Zakladateľ slovenského IT giganta Eset Trnka: Vstup do politiky by mi zničil život 05 - Modified: 2018-09-19 11:44:28 - Feat.: 0 - Title: Eset chce dobyť japonský trh. V Tokiu otvoril novú pobočku
01 - Modified: 2024-10-03 21:06:57 - Feat.: - Title: V Prahe bude rokovať česká a poľská vláda, riešiť budú aj povodne a energie 02 - Modified: 2024-10-03 11:46:18 - Feat.: - Title: VEĽKÝ PREHĽAD: Poslanci schválili zmeny na poslednú chvíľu. Koho sa konsolidačný balíček dotkne najviac? 03 - Modified: 2024-10-03 06:19:21 - Feat.: - Title: Holandsko obviňuje nemenovaného štátneho aktéra z hackerského útoku na políciu 04 - Modified: 2024-10-02 10:35:37 - Feat.: - Title: Vláda chce zaviesť povinnosť deklarovať hotovosť pri jej preprave cez hranice 05 - Modified: 2024-09-30 15:30:00 - Feat.: - Title: Slovensko nemohlo za rok od volieb zažiť to, čo zažilo
menuLevel = 2, menuRoute = style/tech, menuAlias = tech, menuRouteLevel0 = style, homepage = false
10. október 2024 15:35