ESET нашли вечный троян для материнских плат, направленный против чиновников Европы, и не связали его с ЦРУ

Развитие событий: ЦРУ и ФБР 3 года дурили китайскую разведку и «не замечали» закладок в серверах Super Micro (4 октября)

Антивирусная компания ESET обнаружила, что авторы вредоносного ПО используют UEFI/BIOS материнских плат для обеспечения неприкосновенности дистрибутива с трояном. Вредоносное ПО, в одном из выявленных случаев, пытается установить заражённый модуль UEFI и защитить SPI флеш-память материнской платы от перезаписи. В ESET считают, что троян создан АРТ-группой Sednit (APT28, Fancy Bear, Strontium или Sofacy). Вредоносное ПО LoJax замаскировано под легитимную программу LoJack (производства Absolute Software) — троян невозможно удалить заменой жёсткого диска и тем более перестановкой ОС. Сотрудники ESET изучили код и предположили, что целью атаки вируса сейчас являются госучреждения на Балканах, в Центральной и Восточной Европе. Вредоносный код работает, как минимум с начала 2017 года. Исследования ESET, являются точкой зрения их авторов и могут не совпадать с официальной позицией компании. В ESET подчеркнули, что некоторые предположения, опубликованные в российских и западных СМИ на базе рассказа о LoJax, не являются выводами исходного исследования.

UEFI, или «Unified Extensible Firmware Interface» — это современное название для спецификации EFI, разработки Intel. Компьютеры с Linux могли использовать EFI при загрузке с начала 2000 года, машины на Windows с 2002, Mac OS с 2005. Продукты, основанные на EFI, UEFI и спецификациях инструментария, доступны через независимых производителей BIOS, например, American Megatrends (AMI) и Insyde Software.

В январе 2018 года союз Google, Facebook, Horizon Computing Solutions и Two Sigma представил проект LinuxBoot, его авторы намерены найти альтернативу UEFI-прошивкам на материнских плат. Ранее осенью 2017 инженер Google Рональд Минних рассказал на LinuxCon о NERF (Non-Extensible Reduced Firmware), ещё одной инициативе, призванной убрать с компьютеров UEFI. Целью разработчиков NERF является замена или отключение всех прослоек связанных с UEFI, например Intel ME и блокирование их фоновой активности. На WikiLeaks публиковались сведения о шпионских «имплантатах», внедряемых в UEFI. Авторство упомянутых закладок приписывают не Intel, хакерам из Sednit или изготовителям материнских плат, а ЦРУ.

Добавить 2 комментария

  • Ответить
    Альтер Эго

    В западной прессе люди с русскими фамилиями почтительно поясняют, что «Fancy Bear» (она же Sednit) — «это русские разведагентства». Eset догадывается, что разведчики в разведке «работают» на все разведки одновременно, а кому они при этом служат — это отдельный вопрос, ответ на который публично озвучивать не принято. Поэтому словаки просто уточняют сферу демонстративно выказываемых интересов группы. И дополнительно показывают гистограмму присутствия членов группировки в онлайне, то есть предположительную географию обитания неких неустановленных граждан (.pdf):

    During the Sednit phishing campaigns more than 1,000 high-profile individuals involved in Eastern European politics were attacked, including some Ukrainian leaders, NATO officials, and Russian political dissidents.
    The Sednit operators launched their phishing attacks on weekdays, and at times corresponding to office hours in the time zone UTC+3.

    P. S. В часовом поясе UTC+3 находится значительное число стран со склонностью населения к программированию.