ESET despre Lojack şi Lojax sau despre cum te poate expune un program care ar trebui să te protejeze

Publicat: 24.10.2018 12:20

Ultima actualizare: 04.08.2022 00:14

Denumit Lojax de către ESET, acest rootkit face parte dintr-o campanie desfăşurată de faimosul grup Sednit împotriva mai multor ţinte high-profile din Europa Centrală şi de Est şi este primul atac de acest gen, făcut public.

Grupul Sednit funcţionează încă din anul 2004 şi a ţinut prima pagină a ziarelor destul de des în ultimii ani: se crede că se află în spatele unor atacuri majore. De exemplu, Departamentul de Justiţie al Statelor Unite a numit grupul ca fiind responsabil pentru hack-ul asupra Comitetului Naţional Democrat (DNC), care a avut loc chiar înainte de alegerile din SUA, din 2016. Se presupune, de asemenea, că grupul se află în spatele hacking-ului reţelei internaţionale de televiziune TV5Monde, scurgerii de date a Agenţiei Mondiale Anti-Doping (WADA) şi a altor cazuri similare.

În mai 2018, o postare de blog a Arbor Networks a descris câteva eşantioane infestate cu un virus troian ale agentului LoJack, rpcnetp.exe, al Absolute Software. Aceste eşantioane de malware comunicau cu un server de comandă şi control (C&C) maliţios, în locul serverului legitim Absolute Software, deoarece setările lor de configurare hardcoded fuseseră alterate. Unele dintre domeniile găsite în eşantioanele LoJax au mai fost văzute înainte: au fost folosite la sfârşitul anului 2017 ca domenii C&C pentru bine cunoscutul backdoor first-stage al Sednit - SedUploader. Din cauza utilizării maliţioase a agentului LoJack în această campanie, Eset a denumit acest malware drept Lojax.

Rootkit e un un set de programe de tip malware creat pentru a permite accesul la un computer sau la softuri, la care în mod normal nu ai acces. Mai multe detalii aici.

UEFI (Unified Extensible Firmware Interface) reprezintă noul concept de BIOS, fiind înlocuitorul acestuia pentru PC-uri, servere, laptopuri-uri.

Rootkit-urile UEFI sunt instrumente extrem de periculoase pentru lansarea unor atacuri cibernetice. Ele servesc ca o cheie de acces la întregul computer, sunt greu de detectat şi capabile să supravieţuiască măsurilor de securitate cibernetică, cum ar fi reinstalarea sistemului de operare sau chiar înlocuirea unui hard disk. Mai mult decât atât, chiar şi curăţarea unui sistem care a fost infectat cu un rootkit UEFI necesită cunoştinţe peste nivelul utilizatorului obişnuit, cum ar fi rescrierea firmware-ului.

Versiunile precedente ale acestui agent erau cunoscute sub numele de Computrace. După cum sugerează şi numele, odată ce serviciul era activat, computerul apela la serverul C&C, iar proprietarul său era anunţat cu privire la locaţia dispozitivului, în caz că acesta era pierdut sau furat. Computrace a atras atenţia comunităţii de securitate datorită persistenţei sale neobişnuite. De vreme ce intenţia acestui software este de a proteja un sistem în faţa furtului, este important să reziste la reinstalarea sistemului de operare sau înlocuirea harddisk-ului. Astfel, este implementat ca un modul UEFI/BIOS, capabil să supravieţuiască unor astfel de evenimente.

LoJack este un software anti-furt pentru laptopuri al companiei Absolute Software. El vine preinstalat în sistemul UEFI şi poate fi activat plătind un abonament anual. Dacă în timpul în care Lojack e activ pe laptop acesta e furat, Absolute Software promite să urmărească, localizeze şi să recupereze dispozitivul şi datele. Dacă achiziţionezi pachetul Absolute Home & Office Premium, compania îţi promite 1000$, dacă nu-ţi găseşte laptopul în 60 de zile.

Aşa că înţelegeţi de ce hackerii au fost interesaţi de un proragram ca Lojack, care îţi oferă control apropape nelimitat pe un laptop.

CAPTURĂ www.dell.com

Sunt producători de laptopuri ca Dell, HP, Lenovo, Fujitsu etc, care-şi vând produsele împreună cu Lojack, preinstalat în sistemul UEFI.

Există de asemenea un produs Lojack pentru maşini inteligente, tot pentru prevenirea furtului, dar e produs de compania CalAmp şi la prima vedere numele şi scopul sunt singurele legături cu programul din laptopuri.

Ce se întâmplă când porneşti un sistem infectat cu Lojax, schemă realizată de ESET.

Citește și: Cercetătorii ESET au descoperit „GreyEnergy“, un succesor al grupului BlackEnergy

Modul prin care LoJack e deturnat de la scopul lui initial şi transformat în Lojax e complicat, iar dacă doriţi detalii tehnice intraţi aici (de la pagina 9 la 19).

Să vorbim despre cum te poţi proteja de asemenea atacuri.

1. Folosind un antivirus ca ESET, care are integrată o caracteristică numită UEFI Scanner.

Am descărcat o versiune de antivirus ESET, Internet Security 2018 şi am căutat opţiunea. Calea este:

Computer Scan - Advanced Scans - Custom Scan - Boot sectors /UEFI şi am apăsat Scan as Administrator.

Panoul unde selectezi scanarea UEFI.

Panoul cu rezultatul scanării, ameninţări găsite 0.

Panoul cu rezultatul scanării, detaliat, am apăsat Show log.

2. Utilizând Secure Boot. Rootkit-ul UEFI al Sednit nu este semnat corespunzător, astfel încât primul mecanism de securitate care ar fi putut bloca un astfel de atac este Secure Boot. Când e activat, fiecare componentă firmware încărcată de acesta trebuie să fie semnată corespunzător, asigurând, astfel, integritatea firmware-ului. Aşa că activaţi Secure Boot. Aceasta este protecţia esenţială împotriva atacurilor direcţionate spre firmware-ul UEFI şi poate fi activată la momentul secvenţei de boot în setările UEFI ale sistemului dvs.

Găseşti aici explicaţii despre cum se dezactivează, activează Secure Boot.

3. Actualizarea firmware-ului unui sistem protejat nu este ceva ce ar trebui să fie la îndemâna unui atacator. Există diferite tipuri de protecţie oferite de diverse platforme software, pentru a împiedica operaţiile de scriere neautorizate pe memoriile flash SPI ale sistemului. Lojax este capabil să actualizeze firmware-ul sistemului numai dacă măsurile de protecţie asupra memoriei flash SPI sunt vulnerabile sau greşit configurate. Aşadar, trebuie să vă asiguraţi că utilizaţi cele mai recente versiuni UEFI/BIOS disponibile pentru placa de bază.

Vezi aici câteva metode prin care poţi să-ţi verifici versiunea de firmware.

De asemenea, deoarece vulnerabilitatea exploatată afectează numai chipset-urile mai vechi, asiguraţi-vă că sistemele critice (servere în cazul firmelor) au chipset-uri moderne.

Actualizarea firmware-ului unui sistem nu este o operaţie uşoară. Astfel, securitatea firmware-ului depinde în cea mai mare parte de furnizorii UEFI BIOS. Mecanismele de securitate furnizate de platformă trebuie să fie configurate corespunzător de către firmware-ul sistemului pentru a o proteja eficient. Firmware-ul trebuie să fie construit şi din prisma securităţii.

Dacă totuşi te-ai infectat ce soluţii ai?

Remedierea unei compromiteri direcţionate spre firmware-ul UEFI este o problemă dificilă. Nu există modalităţi uşoare de a elimina automat o astfel de ameninţare de pe un sistem. Pentru a elimina rootkit-ul este necesar reflash-ul memoriei flash SPI cu o imagine firmware curată, specifică plăcii de bază. Acest proces este unul delicat, ce trebuie efectuat manual. Cu siguranţă, nu este o procedură pe care o cunoaşte oricine.

Singura alternativă la reflash-ul unui UEFI/BIOS este înlocuirea plăcii de bază a sistemului compromis.

Criminalitatea în spaţiul virtual a ajuns la un nivel atât de avansat, încât uneori e foarte greu să-i faci faţă şi din postura de utilizator privat, şi ca firmă. În timpul Eset Global Press Tour 2018, la Bratislava, Tony Ascombe, Global Security Evangelist and Industry Partnerships Ambassador al ESET i-a întrebat, pe cei din sală, când au fost infectaţi ultima data. Nimeni n-a ridicat mâna şi el a continuat afirmând că şi dacă s-ar fi întâmplat, cel mai probabil n-au ştiut. Tu când şi cum ai fost atacat ultima dată?