Sä fungerar LoJax w

https://www.enigmasoftware.com/lojax-removal/

PC-säkerhetsforskare har varit oroade över konceptet med UEFI-rootkits, som anses vara extremt hotande eftersom de är mycket svåra att upptäcka och kan överleva grundliga borttagningsmetoder som att byta ut den infekterade hårddisken eller installera om det drabbade operativsystemet. PC-säkerhetsforskare har observerat att UEFI rootkits har presenterats i en proof of concept-metod och används av statliga operatörer. LoJax är dock den första UEFI rootkit-kampanjen som används för att utföra attacker i det vilda, vilket bekräftar existensen och implementeringen av dessa hot.

Några detaljer om LoJax-skapandet

UEFI rootkits presenterades precis som attraktiva koncept som skulle delas i teorin initialt. PC-säkerhetsforskare har dock fått information om attacker som involverar LoJax, som används i attacker av Sednit, en kriminell grupp som har varit ansvarig för olika högprofilerade malwareattacker. LoJax rootkit är utvecklat av denna grupp, som går under flera andra namn som APT28, STRONTIUM, Sofacy och Fancy Bear. LoJax-kampanjen presenterades först på en konferens den 27 september 2018, som uppmärksammade de särskilt skadliga aspekterna av LoJax-hotet.

Vad är målet för de kriminella som är ansvariga för LoJax-attackerna

Den kriminella gruppen som ansvarade för LoJax-attackerna har varit aktiv sedan 2004 och har fått ganska mycket uppmärksamhet eftersom de har varit inblandade i en mängd olika högprofilerade attacker. Denna grupp anses ansvarig för de politiska attackerna mot det demokratiska partiet i USA 2016, samt olika hacks på flera tv-nätverk och andra högprofilerade mål. De personer som är ansvariga för LoJax-attackerna har flera skadliga hot till sitt förfogande, som de kan använda för att utföra en mängd olika attacker.

Hur LoJax-attacken fungerar

Åtminstone när LoJax-attacken har lyckats med att skriva en hotande UEFI-modul på måldatorns minne. Detta gör att LoJax kan släppa och köra sin skadliga programvara när den drabbade datorn startar. Denna attackmetod är hotfull eftersom den tillåter LoJax att överleva om operativsystemet installeras om eller om hårddisken byts ut speciellt. Rengöring av den drabbade datorns UEFI-firmware är dock en operation som är mycket ovanlig och utom räckhåll för vanliga datoranvändare. LoJax-attackerna verkar ha använts för att rikta in sig på statliga nätverk i Centraleuropa, Östeuropa och Balkan.

Detaljerad information om LoJax-attackerna

LoJax-attacker utförs genom en enhetlig plattform som gör det möjligt för brottslingar att rikta in sig på flera sårbarheter samtidigt. LoJax-attacken är extremt sofistikerad, kräver många resurser och är för närvarande långt bortom den genomsnittliga kriminella gruppens förmåga. I huvudsak är LoJax utformad för att läsa den berörda datorns UEFI-inställningar och exportera dem till en textfil. Sedan byggs en kopia av det berörda systemets firmware, lägger till en bakdörrstjänst till denna firmware och skriver över SPI-flashminnet på målenheten, installerar en skadad UEFI på den infekterade datorn. LoJax får en uthållighet som är ovanlig i andra hot genom denna attack. De typiska metoderna som anses vara noggranna vid hantering av annan skadlig programvara kan inte ta bort LoJax eller liknande infektioner. LoJax-bakdörren tillåter brottslingar att få tillgång till den riktade datorn. Genom denna bakdörr kan brottslingarna utföra valfritt antal attacker, installera annan skadlig kod på offrets dator, spionera på dess aktiviteter eller tjäna pengar på infektionen på en mängd andra sätt. Det kommer att bli intressant att se hur skadlig programvara forskare kommer att reagera på attacker som LoJax och ge nya skydd för sårbara datorer.