Odkrit prvi rootkit za UEFI

Na konferenci 35C3 (Chaos Communication Congress), ki je konec leta potekala v Leipzigu, smo videli predstavitve številnih varnostnih lukenj, med katerimi velja posebej omeniti prvi odkriti rootkit za UEFI (današnji naslednik BIOS-a). Domnevno ruska hekerska skupina Sednit, ki jo poznamo še pod številnimi drugimi vzdevki, denimo Fancy Bear in APT28, je uporablja zlonamerno programsko opremo, ki se skrije v UEFI (Unified Extensible Firmware Interface), je razkril Frédéric Vachon iz ESET-a. Vachon je pojasnjeval podrobnosti Lojaxa, kakor se prvi rootkit za UEFI imenuje. O LoJaxu so prvikrat poročali jeseni, sedaj pa je znanega več.

O rootkitih za UEFI se je v preteklosti že mnogo govorilo in špekuliralo, a konkretnega primera ni našel nihče. LoJax, ki je napisan na kodi legitimnega programa LoJack za iskanje ukradenih prenosnikov, ki se skrije v UEFI, je tak primer. Koda v UEFI se izvede ob zagonu računalnika pred klicem operacijskega sistema in preden ima protivirusni program možnost zagnati se. Torej - četudi odstranimo disk, bo tak računalnik še vedno okužen.

Absolute Software, ki je avtor LoJacka, je slabo zaščitil eno izmed zgodnjih verzij iz leta 2009, kar so izkoristili napadalci in si izdelali kopijo po lastni meri. Vektor okužbe je še vedno elektronska pošta ali kaj drugega, kjer je potrebna uporabnikova interakcija. Ko se računalnik okuži, ga je izjemno težko očistiti. Treba je bodisi na novo prepisati firmware na matični plošči ali ploščo zamenjati. Taki primeri so se v praksi že dogajali, saj je ena izmed ESET-ovih strank že dobila LoJax. Če uspejo hekerji pridelati verzijo rootkita, ki se namesti sama (drive-by download) samo z obiskom okužene spletne strani, bo nadloga še toliko večja.