ESET нашли вечный троян для материнских плат, направленный против чиновников Европы, и не связали его с ЦРУ

Антивирусная компания ESET обнаружила, что авторы вредоносного ПО используют UEFI/BIOS материнских плат для обеспечения неприкосновенности дистрибутива с трояном. Вредоносное ПО, в одном из выявленных случаев, пытается установить заражённый модуль UEFI и защитить SPI флеш-память материнской платы от перезаписи. В ESET считают, что троян создан АРТ-группой Sednit (APT28, Fancy Bear, Strontium или Sofacy). Вредоносное ПО LoJax замаскировано под легитимную программу LoJack (производства Absolute Software) — троян невозможно удалить заменой жёсткого диска и тем более перестановкой ОС. Сотрудники ESET изучили код и предположили, что целью атаки вируса сейчас являются госучреждения на Балканах, в Центральной и Восточной Европе. Вредоносный код работает, как минимум с начала 2017 года. Исследования ESET, являются точкой зрения их авторов и могут не совпадать с официальной позицией компании. В ESET подчеркнули, что некоторые предположения, опубликованные в российских и западных СМИ на базе рассказа о LoJax, не являются выводами исходного исследования.

UEFI, или “Unified Extensible Firmware Interface” — это современное название для спецификации EFI, разработки Intel. Компьютеры с Linux могли использовать EFI при загрузке с начала 2000 года, машины на Windows с 2002, Mac OS с 2005. Продукты, основанные на EFI, UEFI и спецификациях инструментария, доступны через независимых производителей BIOS, например, American Megatrends (AMI) и Insyde Software.

В январе 2018 года союз Google, Facebook, Horizon Computing Solutions и Two Sigma представил проект LinuxBoot, его авторы намерены найти альтернативу UEFI-прошивкам на материнских плат. Ранее осенью 2017 инженер Google Рональд Минних рассказал на LinuxCon о NERF (Non-Extensible Reduced Firmware), ещё одной инициативе, призванной убрать с компьютеров UEFI. Целью разработчиков NERF является замена или отключение всех прослоек связанных с UEFI, например Intel ME и блокирование их фоновой активности. На WikiLeaks публиковались сведения о шпионских «имплантатах», внедряемых в UEFI. Авторство упомянутых закладок приписывают не Intel, хакерам из Sednit или изготовителям материнских плат, а ЦРУ.

| Подписаться на комментарии | Комментировать

Похожие новости

В записи нет меток.