Lojax rootkiti Fancy Bear tomonidan ilgari o’ylanganidan ancha uzoq vaqtdan beri foydalanilmoqda.
Zararli dastur APT guruhi tomonidan kamida 2016-yildan beri ishlatib kelinmoqda.
Fancy Bear APT guruhining arsenaliga kiruvchi Lojax rootkiti bir martalik foydalanishdan uzoq va ommaga ma’lum bo’lishidan ancha oldin hujumlarda ishlatilgan. Bu xulosaga Netscout ASERT jamoasi mutaxassislari nafaqat zararli dasturning o’zini, balki uning C&C infratuzilmasi va unga bog’liq domenlarni ham chuqur tahlil qilgandan so’ng kelishdi. O’tgan yilning may oyida aniqlangan Lojax rootkiti o’g’irlangan elektronika va transport vositalarini kuzatish uchun mo’ljallangan qonuniy LoJack dasturining o’zgartirilgan versiyasidir. Hujumchilar ba’zi LoJack komponentlarini zararli komponentlar bilan almashtirdilar, bu esa vositaning tizim darajasida ishlashiga va an’anaviy antivirus dasturlari tomonidan aniqlanmasligiga imkon berdi.
Fancy Bear va Lojax bilan bog’liq domenlarni tahlil qilgandan so’ng, tadqiqotchilar rootkit 2016-yilda — xavfsizlik mutaxassislari tomonidan birinchi marta xabar qilinishidan ikki yil oldin — ishlatilgan degan xulosaga kelishdi. Bundan tashqari, u bitta kampaniyada ishlatilmagan ko’rinadi. Qish mavsumiga kelib Lojax C&C serverlari soni yettitadan ikkitagacha qisqartirilgan bo’lsa-da, Fancy Bear qo’shimcha serverlar va IP-manzillarni istalgan vaqtda foydalanishga tayyor holda saqlaydi.
Netscout ASERT hisobotida ko’rsatilganidek, Lojax ilgari ishonilganidek, bitta kampaniyada foydalanish uchun maxsus yaratilgan yangi vosita emas. Ushbu vosita uzoq vaqtdan beri ishlatilib kelinmoqda va ancha mustahkam infratuzilmaga ega, bu esa umidsizlikka uchragan yangilik.
