Обнаружен первый вирус UEFI

Эксперты в области информационной безопасности, обследуя предприятие Sednit, выявили первый экземпляр руткита, нацеленного на Windows Unified Extensible Firmware Interface.

Фредерик Вахон, исследователь вредоносного ПО в ESET, опубликовал технический отчёт по этому руткиту, назвав уязвимость «значительной».

Поражение UEFI означает, что зловред может выживать во флэш-памяти материнской платы, оставаясь неуязвимым и скрытым при переустановке ОС. При этом впервые выявлен активно действующий зловред такого типа, хотя возможность его существования предполагалась ещё на этапе разработки концепции UEFI.

Руткит
Руткит

Руткит получил имя LoJax. Он является модифицированной версией утилиты LoJack от Absolute Software. Эта утилита, внедряясь в UEFI, предназначена для поиска украденных ноутбуков и позволяет тайно отследить местоположение устройства. В рутките применяется код утилиты образца 2009 года, который имел ошибки, позволившие Sednit получать доступ к загрузке ПО восстановления, для чего потребовалось изменить единственный байт.

Цепь заражения традиционна. Атакующие через фишинг принуждают пользователя запустить файл rpcnetp.exe, который затем добирается до браузера Internet Explorer, используемого для связи с доменами конфигурации.

Вахон пояснил: «Как только я захожу на машину, я могу использовать этот инструмент для размещения руткита в UEFI». Хакерский инструмент имеет привилегии поставщика прошивки, что позволяет удалённо перешить BIOS. Он добавил: «Руткит UEFI расположен во флэш-памяти в зоне BIOS, ответственной за последовательный интерфейс (SPI)».