Ennyit az UEFI biztonságáról

Az ESET kutatói egy olyan új rootkites kártevőt fedeztek fel, amely képes megtámadni az UEFI-t, a számítógépek alapprogramját.

Az ESET kutatói felfedeztek egy újfajta kibertámadást, amely az UEFI (Universal Extensible Firmware Interface, a BIOS utódja) rootkitet használta az áldozatok számítógépére való beférkőzéshez. Az ESET által LoJax néven azonosított rootkit a hírhedt Sednit csoport egyik közép- és kelet-európai kiemelt politikai célpontokat támadó akciójában tűnt fel, ez volt a kártevő eddigi legelső ismert felbukkanása. „Bár ez előtt is tudatában voltunk annak, hogy léteznek UEFI rootkitek, azonban a felfedezésünk megerősíti, hogy ezeket már egy aktív APT csoport is használja a támadások során. Így ez már nem csak egy elméleti fikció a konferenciákon, vagy pusztán egy kísérleti kód (PoC), hanem egy valódi fenyegetés” – mondta Béres Péter, az ESET forgalmazó Sicontact Kft. it-vezetője. Az UEFI rootkitek rendkívül alattomos és félelmetes eszközök egy kibertámadás elindításához. Kulcsként szolgálnak a számítógéphez való hozzáféréshez, nehéz felfedezni őket és képesek túlélni az olyan kiberbiztonsági intézkedéseket, mint az operációs rendszer újratelepítése vagy akár a merevlemez cseréje. Ráadásul egy olyan rendszer tisztítása, amelyet UEFI rootkit fertőzött meg, igen komoly szakértelmet követel, amely messze túlmutat egy átlagos rendszergazda tudásán.

A Sednit, vagy más néven APT28, STRONTIUM, Sofacy vagy Fancy Bear az egyik legaktívabb APT (Advanced Persistent Threat) fenyegetéseket fejlesztő csoport, amelyről azt tudjuk, hogy legalább 2004 óta készítenek különféle fejlett, hosszú ideig rejtőzni képes támadásokat. Állítólag a 2016-os amerikai választások során a demokrata országos választmány elleni támadás, valamint a TV5Monde hálózatának feltörése, illetve a Nemzetközi Doppingellenes Ügynökség e-maileinek kiszivárgása is az említett Sednit csoporthoz köthető akció.