ESET опубликовала данные о вредоносном ПО LoJax от Fancy Bear

ESET, компания, разрабатывающая антивирусное ПО, обнародовала подробные данные о малвари LoJax. Вредоносное ПО поражает компьютер на уровне прошивки.

Исходя из полученных данных об инфраструктуре, исследователи пришли в выводу, что к созданию LoJax с большой степенью вероятности причастна русскоязычная APT Fancy Bear (также известная как Sednit, APT28, STRONTIUM, Sofacy). Эта группа подозревается во множестве атак на правительственные интернет-ресурсы разных стран.

LoJax заражает UEFI

Унифицированный интерфейс расширяемой прошивки (UEFI) — ПО, разработанное, чтобы сменить базовую систему ввода-вывода (BIOS). Основная функция UEFI — инициализировать оборудование при запуске устройства и передать управление загрузчику ОС. При проникновении малвари в систему на этом уровне бесполезны переустановка ОС или физическая замена жёсткого диска. Для устранения проблемы необходимо перепрошить SPI-память чистой версией ПО.

LoJax использует драйвер ядра RwDrv.sys для изменения прошивки устройства. Драйвер поставляется как часть бесплатной утилиты RWEverything, и прошёл легитимную цифровую сертификацию. При старте компьютера руткит устанавливает в систему инструменты по выбору злоумышленников и контролирует их корректный запуск.

Исследователи обнаружили три типа инструментов в LoJax. Первый собирает информацию о низкоуровневых настройках системы в текстовый файл. Эти сведения важны для внедрения, успех атаки такого низкого уровня зависит от конфигурации платформы. Второй инструмент копирует образ прошивки устройства, а третий интегрирует малварь в UEFI и перепрошивает SPI-память заражённой прошивкой.

Основа для малвари

Вредоносное ПО создано на базе LoJack, программы компании Absolute Software, предназначенной для защиты от кражи таких девайсов, как лэптопы. ПО поставлялось уже вшитым в UEFI оборудования, и позволяло отслеживать местонахождение украденного оборудования и даже стирать файлы по удалённой команде. В то же время продукт Absolute Software подвергался критике за чрезмерную защиту от удаления.

Заражённые образцы LoJack обнаружили в мае 2018 года. Программа обменивалась данными не с серверами Absolute Software, а с адресами, «засветившимися» в 2017 году при использовании Fancy Bear программы SedUploader.

ESET отмечает, что это первый документированный случай практического использования UEFI-руткита. По словам исследователей, хакеры как минимум единожды провели успешную атаку с помощью LoJax. Ранее этот вектор уязвимости рассматривался только гипотетически.

Методы защиты

Исследователи отмечают, что руткит APT Fancy Bear не имеет соответствующей цифровой подписи. Для защиты от подобных атак ESET настоятельно рекомендует включить в настройках UEFI функцию Secure Boot. Кроме того, уязвимости подвержены только системы на старых версиях чипсета. Оборудование с интегрированной системой Platform Controller Hub, которую начали использовать с 2008 года, устойчиво к такому типу атак.

Хакерская группа Fancy Bear уже неоднократно упоминалась в новостных сводках. Так, в феврале 2018 года их обвинили в распространении вируса-вымогателя NotPetya. На эту же группу пали подозрения в организации обнаруженного в мае 2018 года ботнета из полумиллиона маршрутизаторов.