LoJax :在网络攻击中首次检测到UEFI Rootkit

ESET 研究人员发现了一种利用UEFI Rootkit在受害者计算机上建立存在的网络攻击。配音 LoJax ,该rootkit是由臭名昭著的Sednit小组针对中欧和东欧的几个知名目标发起的运动的一部分,并且是有史以来第一次此类攻击。

 UEFI rootkit

受UEFI rootkit感染的系统的引导过程

“尽管从理论上讲,我们知道存在UEFI rootkit,但我们的发现证实了活跃的APT小组正在使用它们。因此,它们不再只是会议上吸引人的话题,而是真正的威胁,”负责对LoJax和Sednit的战役进行研究的ESET高级安全研究员Jean-Ian Boutin说道。

UEFI Rootkit是发起网络攻击的极其危险的强大工具。它们是整个计算机的钥匙,难以检测并且无法幸免于网络安全措施,例如重新安装操作系统甚至更换硬盘。此外,即使清理感染了UEFI rootkit的系统,也需要知识,而这些知识远远超出了一般用户的能力,例如刷新固件。

Sednit,也称为APT28,STRONTIUM,Sofacy或Fancy Bear,是最活跃的APT团体之一,至少从2004年开始运营。网络TV5Monde,世界反兴奋剂机构电子邮件泄漏以及许多其他事件都是Sedn​​it的工作。

第一个野生UEFI rootkit的发现为那些经常忽略与固件修改相关的风险的用户及其组织带来了警钟。

“现在没有任何借口将固件排除在常规扫描之外。是的,由UEFI推动的攻击极为罕见,到目前为止,它们大多仅限于对目标计算机的物理篡改。但是,这样的攻击一旦成功,将导致对计算机的完全控制,几乎完全持久。” Jean-Ian Boutin说。

分享这个