ESET wykrywa pierwszego aktywnie wykorzystanego rootkita działającego z poziomu UEFI

O niebezpiecznym rootkicie LoJax używanym przez cyberprzestępczą grupę APT28 informują specjaliści z ESET. Zastosowanie takiej formy infekcji znacznie utrudnia usunięcie zagrożenia. Nie pomaga ponowna instalacja systemu, a nawet wymiana dysku. Rootkit zaszyty jest bowiem w pamięci flash płyty głównej komputera, gdzie mieści się moduł UEFI.

Rootkit LoJax. Fot. ESET

Z pewnością odkrycie ESET stanowi duże wyzwanie dla mniej zaawansowanych użytkowników, którzy nie będą sobie w stanie poradzić z zagrożeniem dotychczasowymi metodami eliminacji złośliwego oprogramowania. Rootkit mieszczący się w UEFI, czyli następcy BIOS-u jest odporny na wszelkie próby reinstalacji systemu, a nawet wymianę nośnika danych. Pomóc może jedynie wyczyszczenie pamięci flash płyty głównej, gdzie mieszczą się komponenty UEFI odpowiedzialne między innymi za uruchamianie systemu.

LoJax dostaje się do komputera w pakiecie sterowników niskiego poziomu o nazwie RWEverything. Następnie wykorzystuje pamięć flash SPI, gdzie przechowywane są informacje UEFI i dosłownie wstrzykuje tam złośliwy kod. Podstawowym celem rootkita jest załadowanie złośliwego oprogramowania do UEFI i jego uruchomienie wraz ze startem systemu operacyjnego.

Jedno z podstawowych zaleceń specjalistów z ESET dotyczy możliwie jak najczęstszej aktualizacji sterowników płyty głównej prosto ze strony producenta. Innym rozwiązaniem jest włączenie w UEFI funkcji Secure Boot, która sprawdza każdy ze sterowników osobno i nie dopuszcza do uruchomienia żadnych podejrzanych modułów. Na szczęście większość nowoczesnych komputerów zostało już wyposażonych w odpowiednie mechanizmy zabezpieczające. Problem może dotyczyć nadal dużych firm, które dość opornie aktualizacją sprzęt i oprogramowanie.