ESET нашли вечный троян для материнских плат, направленный против чиновников Европы, и не связали его с ЦРУ
Антивирусная компания ESET обнаружила, что авторы вредоносного ПО используют UEFI/BIOS материнских плат для обеспечения неприкосновенности дистрибутива с трояном. Вредоносное ПО, в одном из выявленных случаев, пытается установить заражённый модуль UEFI и защитить SPI флеш-память материнской платы от перезаписи. В ESET считают, что троян создан АРТ-группой Sednit (APT28, Fancy Bear, Strontium или Sofacy). Вредоносное ПО LoJax замаскировано под легитимную программу LoJack (производства Absolute Software) — троян невозможно удалить заменой жёсткого диска и тем более перестановкой ОС. Сотрудники ESET изучили код и предположили, что целью атаки вируса сейчас являются госучреждения на Балканах, в Центральной и Восточной Европе. Вредоносный код работает, как минимум с начала 2017 года. Исследования ESET, являются точкой зрения их авторов и могут не совпадать с официальной позицией компании. В ESET подчеркнули, что некоторые предположения, опубликованные в российских и западных СМИ на базе рассказа о LoJax, не являются выводами исходного исследования.
UEFI, или "Unified Extensible Firmware Interface" — это современное название для спецификации EFI, разработки Intel. Компьютеры с Linux могли использовать EFI при загрузке с начала 2000 года, машины на Windows с 2002, Mac OS с 2005. Продукты, основанные на EFI, UEFI и спецификациях инструментария, доступны через независимых производителей BIOS, например, American Megatrends (AMI) и Insyde Software.
В январе 2018 года союз Google, Facebook, Horizon Computing Solutions и Two Sigma представил проект LinuxBoot, его авторы намерены найти альтернативу UEFI-прошивкам на материнских плат. Ранее осенью 2017 инженер Google Рональд Минних рассказал на LinuxCon о NERF (Non-Extensible Reduced Firmware), ещё одной инициативе, призванной убрать с компьютеров UEFI. Целью разработчиков NERF является замена или отключение всех прослоек связанных с UEFI, например Intel ME и блокирование их фоновой активности. На WikiLeaks публиковались сведения о шпионских «имплантатах», внедряемых в UEFI. Авторство упомянутых закладок приписывают не Intel, хакерам из Sednit или изготовителям материнских плат, а ЦРУ.
| Подписаться на комментарии | Комментировать
Источник: Roem.ru
Похожие новости
- Почему безопасность на этапе релиза обходится в десять раз дороже и как это исправить
- Как пчёлы, муравьи и рыбы привели нас к мультиагентному ИИ — и почему его так трудно защитить
- ИБ глазами архитектора: между «карточным домиком» и «бетонным саркофагом»
- ИИ-браузер: сотрудник, который ходит по сайтам, кликает баннеры и верит скидкам 90%
- Как одна кривая регулярка может «положить» ваш сервер: разбираем уязвимость ReDoS
- Я открыл боевую базу своего clipboard-sync, чтобы показать, что он знает о вашем пароле. Ответ: ничего
- Интернет выключили целиком: офлайн-чат на Bluetooth и Wi-Fi Direct, и почему мы не обещаем mesh на весь город
- Muxalma — обмен пакетами данных через общее хранилище
- Western Digital создала жесткий диск с защитой от квантовых атак: разбираем, как он работает
- Как платформа управления AI-агентами будет справляться с нагрузкой: архитектура без магии