Jak donoszą badacze firmy ESET nadciąga nowe zagrożenie, tym razem infekujące firmware UEFI. Mamy do czynienia ze złośliwym kodem, który przetrwa formatowanie dysku i reinstalację systemu operacyjnego a nawet fizyczną wymianę dysku twardego. Dokładniejszy opis techniczny można znaleźć <tutaj>.
Nazwa „LoJax” nadana nowemu zagrożeniu ma nawiązywać do oprogramowania przygotowanego na wypadek kradzieży sprzętu (LoJack), które stało się inspiracją dla grupy APT28 (Fancy Bear) znanej między innymi z udanego ataku na rządowa sieć niemiecką (i nieuprawnione działania trwające około roku).
Ponieważ wyłączenie EUFI i powrót do „Legacy BIOS” nie są dobrą propozycją, obecnie należy przyjąć, że każdy komputer dysponujący włączonym trybem UEFI musi pracować z włączonym SecureBoot, gdyż znane postacie złośliwego kodu nie są poprawnie podpisane cyfrowo (co weryfikuje SecureBoot).
Na komputerach w pierwszej fazie infekcji (od systemu operacyjnego do UEFI) znajduje się plik sterownika RwDrv.sys wykorzystywany do uzyskania dostępu z poziomu systemu do ustawień UEFI. W przypadku sformatowania dysku i ponownej instalacji systemu stracimy możliwość wykrycia tego objawu, lecz równocześnie nic nie zyskamy – komputer będzie nadal zainfekowany.
Interesującym aspektem sprawy jest łączenie się wprowadzanego do systemu operacyjnego złośliwego oprogramowania ze specjalnymi serwerami „C&C”. Połączenia do tych serwerów odkryto między innymi z sektora rządowego krajów Europy Środkowej, w tym sporo połączeń z Polski, o czym informuje Zaufana Trzecia Strona.
Zauważono też, że zainfekowane płyty główne mogą pojawić się na rynku wtórnym. Ciekawe, czy „zamorduje” to ten rodzaj wymiany handlowej, co ucieszyłoby producentów. Przyjdzie też dobry czas dla producentów antywirusów – firma ESET już promuje swój UEFI Scanner, a zapewne inni nie będą chcieli być gorsi.