События

В арсенале Fancy Bear появился первый в мире руткит UEFI

До недавнего времени руткит UEFI был лишь концептом, обсуждаемым на конференциях по информационной безопасности. Однако сейчас он перестал быть только идеей и превратился в инструмент, используемый киберпреступниками в реальных атаках.

Исследователи безопасности из ESET обнаружили первую в мире вредоносную кампанию с применением руткита UEFI. Руткит был встроен в набор инструментов для установки на атакуемые устройства вредоносных обновлений прошивки с целью внедрения вредоносного ПО на более глубоком уровне.

Известен по крайней мере один случай, когда злоумышленникам удалось записать вредоносный модуль UEFI в флэш-память SPI и в результате выполнить на диске вредоносный код в процессе загрузки. Речь идет об известной APT-группе Fancy Bear, также известной под названиями Sednit, APT28, STRONTIUM и Sofacy.

Как сообщили эксперты ESET на конференции Microsoft BlueHat в четверг, 27 сентября, помимо других высокотехнологичных инструментов, Fancy Bear также использует вредоносное ПО LoJax для атак на правительственные учреждения в Европе.

В мае нынешнего года исследователи Arbor Networks предполагали, что группировка использует легитимное ПО LoJack от компании Absolute Software, предназначенное для восстановления ноутбуков. Однако, по словам экспертов ESET, киберпреступники из Fancy Bear модифицировали программу таким образом, чтобы она подключалась к подконтрольному им C&C-серверу, а не легитимному серверу Absolute Software.

Используемое по назначению ПО LoJack подключается к серверу с целью уведомить владельца о потере или краже ноутбука. Тогда владелец может удаленно заблокировать систему и удалить файлы. Специалисты Arbor Networks назвали LoJack «двойным агентом», поскольку программа позволяет удаленно выполнить код, будучи при этом легальной.

Исследователи ESET назвали модифицированную версию LoJack, используемую киберпреступниками, LoJax, чтобы отделить ее от легитимного ПО производства Absolute Software. Тем не менее, развертывается она все так же – как модуль UEFI/BIOS, позволяющий ей оставаться на компьютере даже после удаления ОС и замены жесткого диска.

Источник

Автор: Сергей Куприянов
10.10.2018 (06:02)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.