lojax:在网络内签字中检测到的首次UEFI rootkit

ESET. 研究人员已经发现了一个网络内人,它使用了UEFI Rootkit来建立了受害者计算机的存在。配音 lojax. 此rootkit是臭名昭着的Sednit集团在中欧和东欧的几个高调目标运行的活动的一部分,并且是这一类的第一个公开的攻击。

 Uefi Rootkit.

由UEFI rootkit感染的系统的引导过程

“虽然理论上我们意识到rofiro rootkits存在,但我们的发现确认了主动APT组使用。因此,他们不再是会议的一个有吸引力的话题,而是一个真正的威胁,“评论Jean-Ian Boutin,ESET高级安全研究员,他们将研究Lojax和Sednit的竞选活动。

UEFI Rootkits是一种极其危险的强大工具,用于推出网络攻击。它们用作整个计算机的关键,很难检测到能够存活的网络安全措施,例如重新安装操作系统甚至硬盘更换。此外,甚至清洁用UEFI Rootkit感染的系统需要很远远超出典型用户的范围,例如闪烁固件。

Sednit,也称为APT28,Strontium,Sofacy或Fancy Bear,是最活跃的APT组之一,并且自至少2004年以来一直在运营。据称,受影响2016年美国选举的民主国家委员会黑客攻击全球电视台网络TV5Monde,世界反兴奋剂代理电子邮件泄漏,以及许多其他人被认为是SEDNIT的工作。

首次in-wild rootkit的发现是为用户及其组织的叫醒呼叫,通常忽略与固件修改有关的风险。

“现在,从常规扫描中排除固件没有借口。是的,UEFI促进的攻击极为罕见,最多,它们主要限于与目标计算机的物理篡改。然而,这种攻击应该取得成功,会导致对计算机的全面控制,具有几乎完全持久性,“Jean-Ian Boutin评论。

分享这个