Badacze z firmy ESET opublikowali szeroki raport opisujący rootkit, który modyfikuje UEFI komputera, dzięki czemu może przetrwać reinstalacje systemu, a nawet wymianę dysku twardego. Nie jest to pierwszy opisany tego typu rootkit, lecz pierwszy, który został użyty w realnym ataku. Według danych z raportu na celu przestępców są instytucje rządowe ze środkowo-wschodniej Europy, w tym oczywiście Polska.
Sam rootkit dokonuje modyfikacji firmware’u i “zaszywa się” na bardzo niskim poziomie, przez co jest bardzo trudny do usunięcia. Jeśli komputer został zainfekowany, konieczne jest tzw. flashowanie nadpisanego oprogramowania. Najłatwiejszym sposobem obrony przed tego typu oprogramowaniem, jest włączenie opcji “Secure boot” w ustawieniach UEFI. Dzięki tej funkcji, każde oprogramowanie ładowane przy starcie systemu będzie podlegać sprawdzeniu podpisu cyfrowego, którego złośliwe oprogramowanie nie posiada. Powstrzymać zagrożenie może również procesor nowszej generacji (wyposażony w Platform Controller Hub) z aktualnym UEFI.
Więcej informacji: https://www.welivesecurity.com/wp-content/uploads/2018/09/ESET-LoJax.pdf
CERT PSE zaleca użytkownikom i administratorom zapoznanie się ze szczegółami podatności i podjęcie stosownych kroków.
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny