Зловмисне програмне забезпечення LoJax продовжує працювати 8 місяців після відкриття

Зловмисне програмне забезпечення LoJax продовжує працювати 8 місяців після відкриття

Загальноприйнята думка про зловмисне програмне забезпечення полягає в тому, що ви можете вбити його раз і назавжди, витираючи систему і починаючи з нуля. Проте, особливо розумне програмне забезпечення нагляду, прив'язане до російського уряду, виявляється набагато більш стійким. Навіть заміна дисків не знищить LoJax, який, як видається, продовжує працювати більше восьми місяців після того, як дослідники Arbor Networks детально описали шкідливе програмне забезпечення.

Як правило, зловмисне програмне забезпечення стає мало корисним, коли експерти з безпеки виявляють його. Хоча LoJax майже невразливий. Зазвичай один шматок шкідливого програмного забезпечення включає компоненти з одного або декількох попередніх варіантів шкідливих програм. Тим не менш, LoJax має унікальне походження, що робить його неймовірно жорстким в боротьбі.

Вперше виявлений у 2018 році, LoJax є модифікованою версією комерційного програмного забезпечення LoJack, розробленого компанією Absolute Software. Зокрема, Lojax використовує випуск 2008 року, коли програмне забезпечення було відоме як Computrace. Це законне програмне забезпечення, яке інтегрується з програмним забезпеченням UEFI комп'ютера, щоб допомогти власникові відновити його у випадку його викрадення. Навіть якщо злодій обміняється на новий жорсткий диск, програмне забезпечення знову підтверджує себе від прошивки материнської плати. Це чудово, якщо ви хочете, щоб ваш ноутбук повернувся, але він також ідеально підходить для складних операцій злому.

Оригінальний звіт Arbor Networks про LoJax вказував пальцем на Fancy Bear, групу злому, прив'язану до російської військової розвідки (GRU). Fancy Bear також був залучений до експлуатації прошивки, яка в минулому році вразила маршрутизатори. Lojax використовує більшість компонентів від LoJack, але підключається до командних і керуючих серверів, якими керує Fancy Bear. Зловмисники можуть використовувати інструмент для моніторингу комп'ютера з невеликим ризиком виявлення.

Як LoJax працює, люб'язно Eset.
Як LoJax працює, люб'язно Eset.

Arbor Networks проаналізував нові зразки трояна LoJax, які вказують, що він все ще активний. Насправді, деякі з тих же команд і керуючих серверів використовуються. Це вказує на те, що спроби боротьби з шкідливим програмним забезпеченням в значній мірі зазнали невдачі. Через характер LoJax, тільки складні користувачі будуть знати, що вони були інфіковані.

У звіті також наведено кілька доменів, пов'язаних з раніше відомими IP-адресами, що використовуються шкідливим програмним забезпеченням. Команда ntpstatistics [.] Com і unigymboom [.] Com керують серверами, які підключаються до інфікованих комп'ютерів. Більше десятка більше IP-адрес і доменів, здається, чекають на своїх крилах.

Єдиний спосіб очистити шкідливе програмне забезпечення - це витирати жорсткий диск і перепрофілювати прошивку материнської плати. Хоча, напевно, безпечніше викинути апаратне забезпечення. Спонсоровані державою хакери, мабуть, мають ще багато неприємних трюків у своїх рукавах.

Читати далі

AMD забезпечить підтримку пам’яті Smart Access для апаратного забезпечення Intel, Nvidia
AMD забезпечить підтримку пам’яті Smart Access для апаратного забезпечення Intel, Nvidia

Повідомляється, що AMD співпрацює з Nvidia та Intel, щоб забезпечити апаратну підтримку пам’яті Smart Access на інших графічних та процесорних платформах.

Apple, щоб переглянути цикл розробки програмного забезпечення, прийняти повільні каденції
Apple, щоб переглянути цикл розробки програмного забезпечення, прийняти повільні каденції

Як повідомляється, компанія Apple переглядає план оптимізації iOS та визначення пріоритетів для проектів розвитку, але це, можливо, не настільки відхилення від норми, як воно з'являється.

Деякі материнські плати для Ryzen з більш старим програмним забезпеченням не будуть завантажуватися з APUs Ryzen
Деякі материнські плати для Ryzen з більш старим програмним забезпеченням не будуть завантажуватися з APUs Ryzen

Новий драйвер AMD Ryzen 5 2400G - чудовий чіп, але якщо ви дивитеся на покупку, перевірте, чи спочатку вийде сумісна плата, яку ви купуєте.

Програмне забезпечення чіт може допомогти Mercedes-Benz Pass Американські правила викидів
Програмне забезпечення чіт може допомогти Mercedes-Benz Pass Американські правила викидів

Звіти кажуть Mercedes-Benz дизелі зупинилися чистять вичерпують після 21 миль. Автомобілі також визнали випробування викидів і пішли в повноцінний режим.