Nawet wymieniając dysk, nie pozbędziesz się tego wirusa!

28-09-2018, 21:40

Eksperci dokonali niepokojącego odkrycia. Zidentyfikowali wirusa LoJax, który na cel bierze komputery mieszkańców Europy centralnej i wschodniej, w tym Polaków. Wykryte zagrożenie zagnieżdża się w systemie UEFI (następcy BIOS-u) i jest niezwykle trudne do usunięcia – formatowanie dysku nie pomoże.

Badacze z ESET odkryli pierwszy w historii cyberbezpieczeństwa rootkit działający na poziomie UEFI, czyli następcy BIOS-u. Wykryte zagrożenie zagnieżdża się w jednym z układów scalonych na płycie głównej komputera, gdzie przechowywany jest UEFI, czyli system sterujący działaniem każdego współczesnego peceta. W jaki sposób dochodzi do infekcji? Jak wskazuje Kamil Sadkowski, starszy analityk zagrożeń w ESET, LoJax, po przejęciu kontroli nad systemem operacyjnym, nadpisuje UEFI złośliwym kodem. Ten sam kod, każdorazowo, gdy użytkownik uruchamia komputer, odpowiada za aktywowanie złośliwego programu (konia trojańskiego) w systemie operacyjnym ofiary. Wówczas zagrożenie komunikuje się z serwerem cyberprzestępców C&C i pobiera z niego, a następnie instaluje w systemie docelowe zagrożenie.

Jak wskazują badacze ESET za zagrożeniem stoi grupa cyberprzestępcza Sednit, znana również jako APT28, Fancy Bear, Sofacy lub STRONTIUM. Od ponad 10 lat, wielokrotnie atakowała wybrane cele w krajach Europy Wschodniej i Azji.

Warto przypomnieć, że grupa Sednit cztery lata temu dobrała się do strony polskiej instytucji finansowej. Atak polegał wtedy na wstrzyknięciu do źródła strony złośliwego kodu, który przekierowywał każdego odwiedzającego serwis do innej złośliwej witryny. W kolejnym kroku, wykorzystując lukę w przeglądarce Internet Explorer, doprowadzano do infekcji komputerów nieświadomych zagrożenia internautów. Trzy lata później grupa zaatakowała ponownie - rozesłała falę wiadomości mailowych do pracowników ministerstwa spraw zagranicznych jednego z europejskich państw. Wiadomości zawierały złośliwy dokument o nazwie „Trump's_Attack_on_Syria_English.docx”, który w odniesieniu do ówczesnej sytuacji politycznej, swoją nazwą zachęcała do otwarcia pliku. Ostatnia aktywność grupy miała miejsce w kwietniu tego roku. Wówczas jej celem stali się pracownicy ambasad, ministerstw spraw zagranicznych i placówek dyplomatycznych aż 18 krajów, m.in. z Rosji, Egiptu, Korei, Turcji, czy Urugwaju. Stworzone przez nich zagrożenie wykrywane przez ESET pod nazwą Zebrocy aktywowało się po pobraniu zainfekowanego załącznika .doc z wiadomości e-mail, następnie wykonywało rozkazy cyberprzestępców i zbierało informacje o użytkownikach zainfekowanych komputerów.

By skutecznie zabezpieczyć się przed infekcją LoJax, konieczne jest posiadanie rozwiązania, które ma możliwość analizy i zabezpieczenia przed infekcją właśnie UEFI.

Źródło: ESET


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie



RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Grudzień 2018»
PoWtŚrCzwPtSbNd
 12
3456789
10111213141516
17181920212223
24252627282930
31 
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2018 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.