Зловмисне програмне забезпечення LoJax продовжує працювати 8 місяців після відкриття

Зловмисне програмне забезпечення LoJax продовжує працювати 8 місяців після відкриття

Загальноприйнята думка про зловмисне програмне забезпечення полягає в тому, що ви можете вбити його раз і назавжди, витираючи систему і починаючи з нуля. Проте, особливо розумне програмне забезпечення нагляду, прив'язане до російського уряду, виявляється набагато більш стійким. Навіть заміна дисків не знищить LoJax, який, як видається, продовжує працювати більше восьми місяців після того, як дослідники Arbor Networks детально описали шкідливе програмне забезпечення.

Як правило, зловмисне програмне забезпечення стає мало корисним, коли експерти з безпеки виявляють його. Хоча LoJax майже невразливий. Зазвичай один шматок шкідливого програмного забезпечення включає компоненти з одного або декількох попередніх варіантів шкідливих програм. Тим не менш, LoJax має унікальне походження, що робить його неймовірно жорстким в боротьбі.

Вперше виявлений у 2018 році, LoJax є модифікованою версією комерційного програмного забезпечення LoJack, розробленого компанією Absolute Software. Зокрема, Lojax використовує випуск 2008 року, коли програмне забезпечення було відоме як Computrace. Це законне програмне забезпечення, яке інтегрується з програмним забезпеченням UEFI комп'ютера, щоб допомогти власникові відновити його у випадку його викрадення. Навіть якщо злодій обміняється на новий жорсткий диск, програмне забезпечення знову підтверджує себе від прошивки материнської плати. Це чудово, якщо ви хочете, щоб ваш ноутбук повернувся, але він також ідеально підходить для складних операцій злому.

Оригінальний звіт Arbor Networks про LoJax вказував пальцем на Fancy Bear, групу злому, прив'язану до російської військової розвідки (GRU). Fancy Bear також був залучений до експлуатації прошивки, яка в минулому році вразила маршрутизатори. Lojax використовує більшість компонентів від LoJack, але підключається до командних і керуючих серверів, якими керує Fancy Bear. Зловмисники можуть використовувати інструмент для моніторингу комп'ютера з невеликим ризиком виявлення.

Як LoJax працює, люб'язно Eset.
Як LoJax працює, люб'язно Eset.

Arbor Networks проаналізував нові зразки трояна LoJax, які вказують, що він все ще активний. Насправді, деякі з тих же команд і керуючих серверів використовуються. Це вказує на те, що спроби боротьби з шкідливим програмним забезпеченням в значній мірі зазнали невдачі. Через характер LoJax, тільки складні користувачі будуть знати, що вони були інфіковані.

У звіті також наведено кілька доменів, пов'язаних з раніше відомими IP-адресами, що використовуються шкідливим програмним забезпеченням. Команда ntpstatistics [.] Com і unigymboom [.] Com керують серверами, які підключаються до інфікованих комп'ютерів. Більше десятка більше IP-адрес і доменів, здається, чекають на своїх крилах.

Єдиний спосіб очистити шкідливе програмне забезпечення - це витирати жорсткий диск і перепрофілювати прошивку материнської плати. Хоча, напевно, безпечніше викинути апаратне забезпечення. Спонсоровані державою хакери, мабуть, мають ще багато неприємних трюків у своїх рукавах.

Читати далі

Нове дослідження пропонує Warp Drive, який насправді може спрацювати
Нове дослідження пропонує Warp Drive, який насправді може спрацювати

Фізики роками висловлювали припущення про можливість справжньої деформації, але в новому документі викладається бачення деформації, яка насправді може працювати. Ми все ще не знаємо, як його будувати, але принаймні ми знаємо, чому ми не можемо його побудувати.

Зоряний громадянин Девс злий, змушений працювати через небезпечну для життя Техаську бурю
Зоряний громадянин Девс злий, змушений працювати через небезпечну для життя Техаську бурю

Багато співробітників Cloud Imperium Games висловились проти свого роботодавця з приводу того, як з ними поводилися під час хуртовини в Техасі 2021 року.

Windows 11 не може працювати на ранньому Ryzen, Threatripper, Skylake-X або будь-якому перед-2016 Intel PC
Windows 11 не може працювати на ранньому Ryzen, Threatripper, Skylake-X або будь-якому перед-2016 Intel PC

Якщо новітня документація Microsoft є правдою, величезна кількість поточних ПК не буде мати право оновлення до Windows 11. Ми сподіваємося на роз'яснення цих пунктів дуже скоро.

Яблуко клянеться уряди не можуть співпрацювати своїми інструментами виявлення дитини для спостереженн
Яблуко клянеться уряди не можуть співпрацювати своїми інструментами виявлення дитини для спостереженн

Яблуко нещодавно підтвердив звіт, який стверджував, що планувало полювання на нелегальні матеріали на iPhone. Це, від компанії, яка вже давно сприяла його захистом конфіденційності. Засудження було швидким від груп громадянських свобод, але багато хто з них утримує судження через призначену ціль Apple: зображення дитячого сексуального насильства.