Így fertőz az orosz hekkerek csodafegyvere

|

Egy konferencián bemutatták a Fancy Bear hekkercsoport által előszeretettel használt Lojax kémprogram támadási mechanizmusát.

Hirdetés

A vírusellenes termékeiről ismert ESET szakemberei a Computer Chaos Club konferencián részleteket árultak el a Unified Extensible Firmware Interface (UEFI) rootkit működéséről, amit az orosz kormányhoz közel álló Fancy Bear hekkercsapat használ.

A Lojax néven is ismert szoftver a Windows PC-ken beágyazódik az alaplap firmware-ébe, és a PC bekapcsolása vagy újraindítása után azonnal elindul. Így hatékonyan kijátssza a vírusirtók és az operációs rendszer éberségét, mivel a firmware ezeknél alacsonyabb szinten hajtódik végre.

Hirdetés

A Lojax - amely a legális Lojack lopásellenes szoftver módosított változata - egy fertőzött alkalmazással érkezik a rendszerre, amit egy rosszindulatú email kézbesít, és megnyitás után olyan kódokat futtat, amelyek hatalmukba kerítenek egy sebezhető vezérlőt. Ezt aztán az UEFI firmware indításkor betölti, és a rootkit feltelepül a flash memóriába.

A szoftver képes kikapcsolni az eredeti firmware írásvédelmét, és a hatása gyilkos: a beágyazódott rootkit a kártya SPI memóriájának teljes reflashelésén kívül minden más módszerrel eltávolíthatatlan.

Hirdetés
Hirdetés
Hirdetés

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.