Τα UEFI rootkits θεωρούνται εξαιρετικά επικίνδυνα εργαλεία, καθώς είναι δύσκολο να εντοπιστούν, αλλά και γιατί μπορούν να “επιβιώνουν” από ριζοσπαστικά μέτρα ασφαλείας, όπως την επανεγκατάσταση του λειτουργικού συστήματος ή ακόμη και από την αντικατάσταση του σκληρού δίσκου.
Ορισμένα UEFI rootkits έχουν παρουσιαστεί σαν PoCs σε συνέδρια ασφαλείας, και ίσως ορισμένα από αυτά να είναι στην διάθεση κυβερνητικών υπηρεσιών. Ωστόσο, μέχρι σήμερα δεν είχε ανιχνευτεί η κυκλοφορία κάποιου UEFI rootkit. Η ESET όμως φέρεται να ανακάλυψε μια εκστρατεία από την ομάδα Sednit APT που χρησιμοποιεί με επιτυχία UEFI rootkits.
Η ανακάλυψη του πρώτου UEFI rootkits είναι αξιοσημείωτη γιατί δείχνει ότι το κακόβουλο λογισμικό αποτελεί μια πραγματική απειλή και δεν είναι απλώς ένα ελκυστικό θέμα μιας διάσκεψης.
Η ανάλυσή της ESET για την καμπάνια Sednit που χρησιμοποιεί το UEFI rootkit παρουσιάστηκε στις 27 Σεπτεμβρίου στο συνέδριο Microsoft BlueHat 2018 και περιγράφεται λεπτομερώς στο white paper: “LoJax: First UEFI rootkit found in the wild, courtesy of the Sednit group”.
H om;ada Sednit λειτουργεί από τουλάχιστον το 2004 και έχει καταφέρει μεγάλες επιθέσεις σε στόχους υψηλού προφίλ τα τελευταία χρόνια. Για παράδειγμα, η ομάδα φέρεται να πραγματοποίησε την επίθεση στο Υπουργείο Δικαιοσύνης των ΗΠΑ πριν από τις αμερικανικές εκλογές του 2016. Η ομάδα θεωρείται επίσης υπεύθυνη για την επίθεση στο παγκόσμιο τηλεοπτικό δίκτυο TV5Monde, και πολλά άλλα.
Η έρευνα της ESET διαπίστωσε ότι η συγκεκριμένη ομάδα πέτυχε τουλάχιστον μία φορά να εγκαταστήσει ένα UEFI rootkit σε ένα flash SPI συστήματος. Η μέθοδος είναι ιδιαίτερα επεμβατική, καθώς το κακόβουλο λογισμικό μπορεί να επιβιώσει και μετά την επανεγκατάσταση του λειτουργικού συστήματος, αλλά και μετά την αντικατάσταση του σκληρού δίσκου.
Η ομάδα Sednit χρησιμοποίησε διάφορα συστατικά του κακόβουλου λογισμικού LoJax για να χτυπήσει κυβερνητικούς οργανισμούς στα Βαλκάνια, την Κεντρική και Ανατολική Ευρώπη.
Μπορείτε να διαβάσετε ολόκληρη την ανάλυση της ESET από το παρακάτω link
https://www.welivesecurity.com
________________________
- Windows vs Linux σας αρέσει δεν σας αρέσει
- Windows 10 October 2018 Update Εγκατάσταση και μια πρώτη ματιά