В арсенале Fancy Bear появился первый в мире руткит UEFI
Руткит входит в набор инструментов для установки вредоносных обновлений прошивки.
До недавнего времени руткит UEFI был лишь концептом, обсуждаемым на конференциях по информационной безопасности. Однако сейчас он перестал быть только идеей и превратился в инструмент, используемый киберпреступниками в реальных атаках. Исследователи безопасности из ESET обнаружили первую в мире вредоносную кампанию с применением руткита UEFI. Руткит был встроен в набор инструментов для установки на атакуемые устройства вредоносных обновлений прошивки с целью внедрения вредоносного ПО на более глубоком уровне.
Известен по крайней мере один случай, когда злоумышленникам удалось записать вредоносный модуль UEFI в флэш-память SPI и в результате выполнить на диске вредоносный код в процессе загрузки. Речь идет об известной APT-группе Fancy Bear, также известной под названиями Sednit, APT28, STRONTIUM и Sofacy.
Как сообщили эксперты ESET на конференции Microsoft BlueHat в четверг, 27 сентября, помимо других высокотехнологичных инструментов, Fancy Bear также использует вредоносное ПО LoJax для атак на правительственные учреждения в Европе.
В мае нынешнего года исследователи Arbor Networks предполагали, что группировка использует легитимное ПО LoJack от компании Absolute Software, предназначенное для восстановления ноутбуков. Однако, по словам экспертов ESET, киберпреступники из Fancy Bear модифицировали программу таким образом, чтобы она подключалась к подконтрольному им C&C-серверу, а не легитимному серверу Absolute Software.
Используемое по назначению ПО LoJack подключается к серверу с целью уведомить владельца о потере или краже ноутбука. Тогда владелец может удаленно заблокировать систему и удалить файлы. Специалисты Arbor Networks назвали LoJack «двойным агентом», поскольку программа позволяет удаленно выполнить код, будучи при этом легальной.
Исследователи ESET назвали модифицированную версию LoJack, используемую киберпреступниками, LoJax, чтобы отделить ее от легитимного ПО производства Absolute Software. Тем не менее, развертывается она все так же – как модуль UEFI/BIOS, позволяющий ей оставаться на компьютере даже после удаления ОС и замены жесткого диска.