- PVSM.RU - https://www.pvsm.ru -
Антивирусная компания ESET обнаружила [1], что авторы вредоносного ПО используют UEFI/BIOS материнских плат для обеспечения неприкосновенности дистрибутива с трояном. Вредоносное ПО, в одном из выявленных случаев, пытается установить заражённый модуль UEFI и защитить SPI флеш-память материнской платы от перезаписи. В ESET считают, что троян создан АРТ-группой Sednit (APT28, Fancy Bear, Strontium или Sofacy). Вредоносное ПО LoJax замаскировано под легитимную программу LoJack (производства Absolute Software) — троян невозможно удалить заменой жёсткого диска и тем более перестановкой ОС. Сотрудники ESET изучили код и предположили, что целью атаки вируса сейчас являются госучреждения на Балканах, в Центральной и Восточной Европе. Вредоносный код работает, как минимум с начала 2017 года. Исследования ESET, являются точкой зрения их авторов и могут не совпадать с официальной позицией компании. В ESET подчеркнули, что некоторые предположения, опубликованные в российских и западных СМИ на базе рассказа о LoJax, не являются выводами исходного исследования.
UEFI [2], или «Unified Extensible Firmware Interface» — это современное название для спецификации EFI, разработки Intel. Компьютеры с Linux могли использовать EFI при загрузке с начала 2000 года, машины на Windows с 2002, Mac OS с 2005. Продукты, основанные на EFI, UEFI и спецификациях инструментария, доступны через независимых производителей BIOS, например, American Megatrends (AMI) и Insyde Software.
В январе 2018 года союз Google, Facebook, Horizon Computing Solutions и Two Sigma представил проект [3] LinuxBoot, его авторы намерены найти альтернативу UEFI-прошивкам на материнских плат. Ранее осенью 2017 [4] инженер Google Рональд Минних рассказал на LinuxCon о NERF (Non-Extensible Reduced Firmware), ещё одной инициативе, призванной убрать с компьютеров UEFI. Целью разработчиков NERF является замена или отключение всех прослоек связанных с UEFI, например Intel ME и блокирование их фоновой активности. На WikiLeaks публиковались сведения о шпионских «имплантатах» [5], внедряемых в UEFI. Авторство упомянутых закладок приписывают не Intel, хакерам из Sednit или изготовителям материнских плат, а ЦРУ.
Источник [6]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/rossiya/294806
Ссылки в тексте:
[1] обнаружила: https://habr.com/company/eset/blog/425251/
[2] UEFI: https://ru.wikipedia.org/wiki/Extensible_Firmware_Interface
[3] представил проект: https://roem.ru/26-01-2018/267138/goog-fb-spasyot-ot-intel/
[4] осенью 2017: https://roem.ru/01-11-2017/262549/google-vs-intel-me/
[5] о шпионских «имплантатах»: https://wikileaks.org/vault7/
[6] Источник: https://roem.ru/04-10-2018/274170/vechniy-shpion/
Нажмите здесь для печати.