Зловмисне програмне забезпечення LoJax продовжує працювати 8 місяців після відкриття

Загальноприйнята думка про зловмисне програмне забезпечення полягає в тому, що ви можете вбити його раз і назавжди, витираючи систему і починаючи з нуля. Проте, особливо розумне програмне забезпечення нагляду, прив'язане до російського уряду, виявляється набагато більш стійким. Навіть заміна дисків не знищить LoJax, який, як видається, продовжує працювати більше восьми місяців після того, як дослідники Arbor Networks детально описали шкідливе програмне забезпечення.

Як правило, зловмисне програмне забезпечення стає мало корисним, коли експерти з безпеки виявляють його. Хоча LoJax майже невразливий. Зазвичай один шматок шкідливого програмного забезпечення включає компоненти з одного або декількох попередніх варіантів шкідливих програм. Тим не менш, LoJax має унікальне походження, що робить його неймовірно жорстким в боротьбі.

Вперше виявлений у 2018 році, LoJax є модифікованою версією комерційного програмного забезпечення LoJack, розробленого компанією Absolute Software. Зокрема, Lojax використовує випуск 2008 року, коли програмне забезпечення було відоме як Computrace. Це законне програмне забезпечення, яке інтегрується з програмним забезпеченням UEFI комп'ютера, щоб допомогти власникові відновити його у випадку його викрадення. Навіть якщо злодій обміняється на новий жорсткий диск, програмне забезпечення знову підтверджує себе від прошивки материнської плати. Це чудово, якщо ви хочете, щоб ваш ноутбук повернувся, але він також ідеально підходить для складних операцій злому.

Оригінальний звіт Arbor Networks про LoJax вказував пальцем на Fancy Bear, групу злому, прив'язану до російської військової розвідки (GRU). Fancy Bear також був залучений до експлуатації прошивки, яка в минулому році вразила маршрутизатори. Lojax використовує більшість компонентів від LoJack, але підключається до командних і керуючих серверів, якими керує Fancy Bear. Зловмисники можуть використовувати інструмент для моніторингу комп'ютера з невеликим ризиком виявлення.

Arbor Networks проаналізував нові зразки трояна LoJax, які вказують, що він все ще активний. Насправді, деякі з тих же команд і керуючих серверів використовуються. Це вказує на те, що спроби боротьби з шкідливим програмним забезпеченням в значній мірі зазнали невдачі. Через характер LoJax, тільки складні користувачі будуть знати, що вони були інфіковані.

У звіті також наведено кілька доменів, пов'язаних з раніше відомими IP-адресами, що використовуються шкідливим програмним забезпеченням. Команда ntpstatistics [.] Com і unigymboom [.] Com керують серверами, які підключаються до інфікованих комп'ютерів. Більше десятка більше IP-адрес і доменів, здається, чекають на своїх крилах.

Єдиний спосіб очистити шкідливе програмне забезпечення - це витирати жорсткий диск і перепрофілювати прошивку материнської плати. Хоча, напевно, безпечніше викинути апаратне забезпечення. Спонсоровані державою хакери, мабуть, мають ще багато неприємних трюків у своїх рукавах.

Читати далі

AMD забезпечить підтримку пам’яті Smart Access для апаратного забезпечення Intel, Nvidia

Зловмисне програмне забезпечення LoJax продовжує працювати 8 місяців після відкриття

Читати далі

AMD забезпечить підтримку пам’яті Smart Access для апаратного забезпечення Intel, Nvidia

Вертоліт NASA Mars залишається заземленим очікуванням програмного забезпечення

Програмне забезпечення Помилка затримка винахідливості вертольота 4-го Марс

Gigabyte звинувачує носій для апаратного забезпечення DOA, замінить дефектні джерела живлення