LoJax
Os pesquisadores de segurança do PC têm se preocupado com o conceito de rootkits UEFI, que são consideradas extremamente ameaçadoras porque são muito difíceis de se detectar e podem sobreviver a métodos de remoção completos, tais como a substituição do disco rígido infectado ou a reinstalação do sistema operacional afetado. Os pesquisadores de segurança do PC observaram que os rootkits do UEFI foram apresentados em um método de prova de conceito e estão sendo usados pelos operadores governamentais. No entanto, o LoJax é a primeira campanha de rootkit do UEFI que está sendo usada para realizar ataques indiscriminados, o que confirma a existência e a implementação dessas ameaças.
Índice
Alguns Detalhes sobre a Criação do LoJax
Os rootkits da UEFI foram apresentados apenas como conceitos atraentes para serem compartilhados inicialmente apenas em teoria. No entanto, os pesquisadores de segurança do PC receberam informações sobre ataques envolvendo o LoJax, que está sendo usado em ataques do Sednit, um grupo criminoso que tem sido responsável por vários ataques de malwares de alto perfil. O rootkit LoJax foi desenvolvido por esse grupo, que tem vários outros nomes, tais como APT28, STRONTIUM, Sofacy e Fancy Bear. A campanha do LoJax foi apresentada pela primeira vez em uma conferência em 27 de setembro de 2018, que chamou a atenção para os aspectos particularmente prejudiciais da ameaça do LoJax.
Qual é o Objetivo dos Criminosos Responsáveis pelo Ataque do LoJax
O grupo de criminosos responsáveis pelos ataques do LoJax está ativo desde 2004 e recebeu muita atenção porque esteve envolvido em uma ampla variedade de ataques de alto nível. Esse grupo é considerado responsável pelos ataques políticos ao partido Democrata dos Estados Unidos em 2016, bem como por inúmeros hacks em várias redes de televisão e outros alvos de alto perfil. As pessoas responsáveis pelos ataques do LoJax têm várias ameaças de malware à sua disposição, que podem ser usadas para realizar uma ampla variedade de ataques.
Como Funciona o Ataque do LoJax
Pelo menos uma vez, o ataque LoJax foi bem-sucedido ao escrever um módulo UEFI ameaçador na memória do computador alvo. Isso permite que o LoJax instale e execute o seu malware quando o computador afetado estiver inicializando. Esse método de ataque é ameaçador porque permite que o LoJax sobreviva se o sistema operacional for reinstalado ou se o disco rígido for substituído. No entanto, a limpeza do firmware UEFI do computador afetado é uma operação muito incomum e fora do alcance dos usuários de computador médios. Os ataques do LoJax parecem ter sido usados para atacar redes governamentais na Europa Central, Europa Oriental e nos Bálcãs.
Outros Detalhes do Ataque do LoJax
Os ataques LoJax estão sendo realizados por meio de uma plataforma unificada que permite que os criminosos ataquem várias vulnerabilidades de uma só vez. O ataque do LoJax é extremamente sofisticado, exigindo numerosos recursos e, neste momento, está muito além da capacidade e um grupo médio de criminosos. Essencialmente, o LoJax foi projetado para ler as configurações de UEFI do computador afetado e exportá-las para um arquivo de texto. Em seguida, uma cópia do firmware do sistema afetado é criada, adicionando um serviço de backdoor a esse firmware e sobre-escrevendo a memória flash SPI no dispositivo de destino, instalando uma UEFI corrompida no computador infectado. O LoJax obtém uma persistência inédita em outras ameaças através desse ataque. Os métodos típicos considerados completos ao lidar com outro malwares não são capazes de remover o LoJax ou infecções semelhantes. O backdoor LoJax permite que os criminosos tenham acesso ao computador visado. Através desse backdoor, os criminosos podem realizar qualquer número de ataques, instalando outros malwares no computador da vítima, espionando as suas atividades ou monetizando a infecção de várias outras maneiras. Será interessante ver como os pesquisadores de malware reagirão a ataques como o do LoJax e se fornecerão novas proteções para os PCs vulneráveis.
