Исследователи безопасности компании ESET сообщили об обнаружении LoJax, первого руткита в "дикой природе", заражающего UEFI. Ботнет Hide and Seek Botnet заражает Android устройства. Создан джейлбрейк нового iPhone XS

LoJax - первый UEFI руткит, заражающий компьютеры пользователей

Исследователи безопасности компании ESET сообщили об обнаружении первого руткита в "дикой природе", заражающего унифицированный интерфейс расширяемой прошивки (UEFI). Данный руткит использовался известной хакерской группировкой под названием Fancy Bear (другие их названия APT28, Sofacy, Pawn storm, Sednit и Strontium). Хакерская группа Fancy Bear подозревается во множестве атак на правительственные интернет-ресурсы разных стран и по мнению многих специалистов кибербезопасности, связана с российскими спецслужбами. Именно эта группа подозревается во взломе Демократического национального комитета (DNC) накануне выборов в США в 2016 году и так же они подозреваются в утечке электронной почты Всемирного антидопингового агентства (WADA).

Обнаруженный руткит UEFI получил название LoJax. Руткит был обнаружен в комплекте с инструментами, с помощью которых может перезаписывать UEFI. Вредоносное ПО может сохраняться внутри SPI флэш-памяти компьютера, это означает, что переустановка операционной системы и замена жесткого диска не избавят компьютер от вредоносной программы. Исследование показало, что руткит предназначался для правительственных организаций стран Балканского полуострова и других стран Центральной и Восточной Европы.

Согласно исследованиям ESET, Lojax является первым обнаруженным руткитом,заражающим UEFI в реальном мире. До этого эксперты в основном говорили об UEFI руткитах как о теоретической атаке, хотя ранее были свидетельства того, что частные фирмы продавали инструменты взлома для государственных заказчиков.

Специалисты ESET заявили, что поведение Lojax подражает оригинальному программному инструменту LoJack - официальному программному модулю компании Absolute Software с функциями Анти-вор, расположенному в BIOS/UEFI, соответственно который также трудно удалить с ПК. «Поскольку намерение этого программного обеспечения заключается в защите системы от кражи, важно, чтобы он не поддерживал переустановку ОС или замену жесткого диска. Таким образом, он реализован как модуль UEFI / BIOS, способный выжить в таких случаях. Это решение поставляется в предустановленной версии встроенного ПО большого количества ноутбуков, выпускаемых различными OEM-производителями, ожидающих активации их владельцами.», - сообщили специалисты ESET.

Патч SPI флэш-памяти с вредоносным ПО

В системах, которые были нацелены на атаку руткитом LoJax, были обнаружены различные инструменты, которые имеют доступ к параметрам UEFI и BIOS и изменяют их. Все они использовали драйвер ядра RwDrv.sys для доступа к настройкам UEFI / BIOS. Этот драйвер ядра поставляется вместе с RWEverything, бесплатной утилитой, доступной в Интернете, которая может быть использована для чтения информации почти на всех низкоуровневых настройках компьютера, включая PCI Express, Memory, PCI Option ROM и т.д. Поскольку данный драйвер ядра принадлежит официальному программному обеспечению, то он подписан действительной цифровой подписью.

Как защитить себя?

UEFI-руткит неправильно подписан, поэтому первым механизмом безопасности, который будет блокировать такую атаку, является механизм «Secure Boot». При включенном механизме «Secure Boot», каждый компонент прошивки, должен быть правильно подписан, что гарантирует целостность прошивки. Мы настоятельно рекомендуем включить его. Это базовая защита от атак, нацеленных на прошивку UEFI, и их можно включить во время загрузки через настройки UEFI вашей системы.

Существуют различные меры защиты, предоставляемые платформой для предотвращения несанкционированной записи в системную флэш-память SPI. Описанный выше вредоносный инструмент может изменить прошивку системы только в том случае, если защита флэш-памяти SPI уязвима или неправильно настроена. Таким образом, вы должны убедиться, что используете последнюю доступную версию UEFI / BIOS для вашей материнской платы. Кроме того, поскольку уязвимость, затрагивает только более старые чипсеты, убедитесь, что в критических системах установлены современные чипсеты с контроллером (хаб) концентратора платформы Controller Hub (использующиеся на чипсете Intel Series 5 с 2008 года).

Ботнет Hide and Seek Botnet заражает Android устройства

Ботнет Hide and Seek был обнаружен в январе 2018 года, тогда он атаковал только IoT-устройства, привлек своё внимание благодаря быстрому росту до более чем 90 000 устройств всего за несколько дней. Новый механизм заражения, обнаруженный в последней модификации ботнета, заражает Android устройства через сети WiFi с помощью активированной функции беспроводной отладки (Android Debug Bridge). Используя данную функцию устройств, Hide and Seek расширяет свое присутствие до десятков тысяч потенциальных ботов.

Согласно исследованию компании Bitdefender, ботнет Hide and Seek может использовать около 40 000 новых устройств, большинство из которых находятся в Тайване, Корее и Китае.

В беседе с BleepingComputer главный исследователь по безопасности компании Bitdefender Алекс Балан рассказал, что целью ботнета на данный момент является увеличение его размера и не более того. Хотя ботнет поддерживает команды для фильтрации данных и выполнения кода, исследователи не обнаружили их выполнение в ботнете. Кроме того, отсутствует модуль для запуска распределенных атак типа «отказ в обслуживании», основного метода монетизации ботнета.

Источник материала:
www.comss.ru