Специалисты из антивирусной компании ESET рассказали о новом поколении вредоносного ПО от серьезной хакерской группировки. Особенность вируса заключается в том, что он встраивается в подсистему UEFI (замена BIOS) и может пережить переустановку ОС и даже смену жесткого диска.
Использование руткита для встраивания в UEFI уже давно допускалось специалистами по безопасности, но в реальности с такими вредоносами никто не сталкивался. Теперь же, если верить докладу ESET, подобный вирус используется группой хакеров Fancy Bear, которую многие СМИ связывают напрямую с российскими спецслужбами.
Для установки шпионского ПО используется вирус LoJax, а он, в свою очередь, является модификацией программы LoJack. Последняя создана для отслеживания местонахождения компьютера и удаленного управления им, а «зашивается» такой инструмент напрямую в UEFI. Актуально для промышленных компьютеров с секретными данными.
Secure Boot в UEFI
Встроенный в UEFI вирус работает таким образом, что в среде операционной системы он устанавливает дополнительное ПО. А оно настолько небольшое по весу и хорошо замаскированное, что практически не определяется антивирусами.
Некоторые вредоносные версии LoJack были обнаружены на компьютерах в Европе, но пока остается загадкой способ доставки этого ПО на машины. Основная деятельность вируса заключается в сборе данных о компьютере и установке дополнительных вредоносных модулей.
Спастись от такой «заразы» все же можно. Достаточно загрузить систему в режиме Secure Boot — в нем проверяются все компоненты UEFI, а LoJax лишен цифровой подписи и не пройдет незамеченным.
