LoJax Sedan 2016.

https://www.scworld.com/news/fancy-bears-lojax-rootkit-has-been-foraging-since-late-16

Fancy Bear's LoJax rootkit has been foraging since late '16

The lethal LoJax malware thought to be the handiwork of hacker group Fancy Bear (APT28) came to light only this past May, but most likely had been wreaking havoc since late 2016, reported Netscout researchers from Arbor's Security Engineering & Response Team (ASERT).

With a name derived from the LoJack solution to track stolen cars and later adapted by Absolute Software for laptop recovery, LoJax has been described as "unkillable" because the rootkit is left on a computer even after OS reinstalls and hard-drive replacements.

"In some cases, replacement maybe cheaper than repair," researchers from Netscout Threat Intelligence, who asked for anonymity, told SC exclusively. "Finding 'unkillable' malware in general is also fairly rare, in part because such malware is generally used against high-value targets and because it is only effective so long as it remains hidden."

The good news is that this type of malware and operation "doesn't scale well to a massive, global campaign,"believes the Westford, Mass.-based security solutions firm, which surmises that Lojack was likely being used to establish persistence on victim computers, but the larger implications for Lojack's specific use could be to track the movement of equipment or personnel around the globe.

Asked whether Is LoJax is indisputably the handiwork of Fancy Bear, Netscout Threat Intelligence replied: "There is rarely complete certainty in attribution, but there is substantial evidence that this is the work of Fancy Bear." A direct link also can be made from the Fancy Bear operations to the Russian government, an assertion also made by the FBI in recent indictments, it noted.

Netscout said it found infrastructure overlap between Lojack and known Fancy Bear domains, some of which were used for phishing. "The victims that we are aware of is of geopolitical interest to Russia and falls in line with Fancy Bear's historical targeting."

Since its initial LoJax discovery eight months ago, Netscout conducted additional research into "infrastructure we believe Fancy Bear (APT28) operators use as part of their toolkit," Netscout said. "We created fingerprints that enabled us find additional LoJax servers using our ATLAS collection platform."

The new research identified multiple active LoJax servers, whose IPs had been uncovered by ASERT's collection platform, as well as published by other researchers. It also found suspected corresponding C2 domains, some of which have not been previously seen in LoJax.

"Since exposing the use of LoJaxin May 2018, security researchers proved Fancy Bear used it as part of an UEFI-based rootkit in September of 2018, making LoJax resilient to hard drive replacements and Windows OS re-installs," Netscout explained. (UEFI is an abbreviation for Unified Extensible Firmware Interface, a specification that defines a software interface between an operating system and platform firmware.)Commenting on the latest LoJax revelation, a poster with a Guy Fawkes mask on the U.K. online forum The Register, cast aspersions by quipping: "Low-profile and discrete (sic) activity over a few years sounds like a government operation to me."

https://www.scworld.com/news/fancy-bears-lojax-rootkit-has-been-foraging-since-late-16

Fancy Bears LoJax rootkit har funnits sedan slutet av 16

Den dödliga LoJax skadlig programvara som tros vara hackergruppen Fancy Bears (APT28) hantverk kom fram först i maj, men hade troligen orsakat förödelse sedan slutet av 2016, rapporterade Netscout-forskare från Arbors Security Engineering & Response Team (ASERT).

Med ett namn som kommer från LoJack-lösningen för att spåra stulna bilar och senare anpassat av Absolute Software för återställning av bärbara datorer, har LoJax beskrivits som "oavlivningsbar" eftersom rootkitet finns kvar på en dator även efter ominstallationer av OS och hårddiskbyten.

"I vissa fall är utbyte kanske billigare än reparation," sa forskare från Netscout Threat Intelligence, som bad om anonymitet, exklusivt till SC. "Att hitta "oavdödlig" skadlig programvara i allmänhet är också ganska sällsynt, delvis för att sådan skadlig programvara vanligtvis används mot högvärdiga mål och för att den bara är effektiv så länge den förblir dold."

Den goda nyheten är att den här typen av skadlig programvara och operation "inte kan skalas bra till en massiv global kampanj", tror det Westford, Massachusetts-baserade säkerhetslösningsföretaget, som antar att Lojack troligen användes för att etablera persistens på offerdatorer, men de större konsekvenserna för Lojacks specifika användning kan vara att spåra rörelsen av utrustning eller personal runt om i världen.

På frågan om Is LoJax obestridligen är Fancy Bears handverk, svarade Netscout Threat Intelligence: "Det finns sällan fullständig säkerhet i tillskrivningen, men det finns betydande bevis för att detta är Fancy Bears verk." En direkt koppling kan också göras från Fancy Bear-verksamheten till den ryska regeringen, ett påstående som också gjorts av FBI i de senaste anklagelserna, noterade den.

Netscout sa att de hittade infrastrukturöverlappning mellan Lojack och kända Fancy Bear-domäner, av vilka några användes för nätfiske. "Offren som vi är medvetna om är av geopolitiskt intresse för Ryssland och faller i linje med Fancy Bears historiska mål."

Sedan den första upptäckten av LoJax för åtta månader sedan, genomförde Netscout ytterligare forskning om "infrastruktur som vi tror att Fancy Bear-operatörer (APT28) använder som en del av sin verktygslåda", sa Netscout. "Vi skapade fingeravtryck som gjorde det möjligt för oss att hitta ytterligare LoJax-servrar med vår ATLAS-insamlingsplattform."

Den nya forskningen identifierade flera aktiva LoJax-servrar, vars IP-adresser hade upptäckts av ASERTs insamlingsplattform, samt publicerats av andra forskare. Den hittade också misstänkta motsvarande C2-domäner, av vilka några inte tidigare har setts i LoJax.

"Sedan användningen av LoJaxin avslöjades i maj 2018 har säkerhetsforskare visat att Fancy Bear använde det som en del av ett UEFI-baserat rootkit i september 2018, vilket gör LoJax motståndskraftig mot hårddiskbyten och ominstallationer av Windows OS," förklarade Netscout. (UEFI är en förkortning för Unified Extensible Firmware Interface, en specifikation som definierar ett programvarugränssnitt mellan ett operativsystem och plattformsfirmware.) En affisch med en Guy Fawkes-mask på det brittiska onlineforumet The Register, som kommenterar den senaste LoJax-avslöjandet, kastar misstankar genom att säga: "Lågprofilerad och diskret verksamhet som ett (några år) och diskret verksamhet."

https://www.scworld.com/news/fancy-bears-lojax-rootkit-has-been-foraging-since-late-16

Fancy Bearin LoJax-rootkit on ollut olemassa myöhän 16 lähtien

Hakkeriryhmän Fancy Bears (APT28) kehittämä tappava LoJax-haittaohjelma ilmestyi ensimmäisen kerran toukokuussa, mutta se oli aiheuttanut tuhoa vuodesta 2016 lähtien, Netscout-tutkijat Arbor's Security Engineering & Response Teamista (ASERT) raportoivat.

Koska nimi tulee LoJack-ratkaisuista varastettujen autojen jäljittämiseen ja Absolute Software mukautti myöhemmin kannettavan tietokoneen palauttamiseen, LoJaxia kuvataan "käyttökelpoiseksi", koska rootkitit löytyvät mistä tahansa tietokoneesta jopa käyttöjärjestelmän ja kiintolevyn uudelleenasennuksen jälkeen.

"Joissakin tapauksissa vaihtaminen voi olla halvempaa kuin korjaaminen", nimettömänä puhuneet Netscout Threat Intelligencen tutkijat kertoivat yksinomaan SC:lle. "Kuolemattomien haittaohjelmien löytäminen yleisesti on myös vaikeaa, osittain siksi, että tällaisia ​​haittaohjelmia käytetään tällä hetkellä arvokkaita kohteita vastaan ​​ja koska ne ovat tehokkaita vain niin kauan kuin siemen on piilossa."

Hyvä uutinen on, että tämän tyyppiset haittaohjelmat ja toiminnot "ei voi skaalata hyvin massiiviseen maailmanlaajuiseen kampanjaan", uskoo Westfordissa, Massachusettsissa sijaitseva tietoturvaratkaisuyritys, joka olettaa, että Lojackia käytettiin todennäköisesti uhrien tietokoneiden pysyvyyden luomiseen, mutta suurempi vaikutus Lojackin erityiskäyttöön saattaa olla laitteiden tai henkilökunnan liikkumisen seuranta ympäri maailmaa.

Kun kysyttiin, onko LoJax kiistatta Fancy Bearin käsialaa, Netscout Threat Intelligence vastasi: "Attribuutio on harvoin täysin varma, mutta on olemassa merkittäviä todisteita siitä, että tämä on Fancy Bearin työtä." Fancy Bearin operaatioista voidaan tehdä suora linkki myös Venäjän hallitukseen, kuten myös FBI väittää viimeaikaisissa syytteissä, se huomautti.

Netscout kertoi löytäneensä infrastruktuurin päällekkäisyyttä Lojackin ja tunnettujen Fancy Bear -verkkotunnusten välillä, joista osaa käytettiin tietojenkalasteluun. "Uhrit, joista olemme tietoisia, ovat geopoliittisia Venäjää kiinnostavia ja ovat Fancy Bearin historiallisten tavoitteiden mukaisia."

Siitä lähtien, kun LoJax löydettiin kahdeksan kuukautta sitten, Netscout suoritti lisätutkimusta "infrastruktuurista, jota uskomme Fancy Bear -operaattoreiden (APT28) käyttävän osana työkalupakkiaan", Netscout sanoi. "Loimme sormenjäljet, joiden avulla pystyimme löytämään lisää LoJax-palvelimia ATLAS-keräysalustallamme."

Uudessa tutkimuksessa tunnistettiin useita aktiivisia LoJax-palvelimia, joiden IP-osoitteet olivat ASERTin keräysalustalla löytäneet ja muiden tutkijoiden julkaisseet. Se löysi myös epäilyttäviä vastaavia C2-alueita, joista osaa ei ole aiemmin nähty LoJaxissa.

"Siitä lähtien, kun LoJaxinin käyttö paljastettiin toukokuussa 2018, tietoturvatutkijat ovat osoittaneet, että Fancy Bear käytti sitä osana UEFI-pohjaista rootkitiä syyskuussa 2018, mikä teki LoJaxista vastustuskykyisen kiintolevyn vaihdoille ja Windows-käyttöjärjestelmän uudelleenasennuksille", Netscout selitti. (UEFI on lyhenne sanoista Unified Extensible Firmware Interface, spesifikaatio, joka määrittelee ohjelmistorajapinnan käyttöjärjestelmän ja alustan laiteohjelmiston välillä.) Guy Fawkesin maskilla varustettu juliste brittiläisellä verkkofoorumilla The Register, joka kommentoi äskettäistä LoJax-paljastusta, herättää epäilyksiä sanomalla: "Matalaprofiilinen ja huomaamaton toiminta ja (muutaman vuoden) toiminta."