Исследователи безопасности говорят, что они обнаружили доказательства того, что впервые хакеры, поддерживаемые Россией, теперь используют более сложный тип вредоносного ПО для целевых государственных структур.
ESET представила свое дело в четверг, что группа хакеров, известная как Fancy Bear (или APT28), использует руткит - вредоносное ПО для своих жертв. Это указывает на эскалацию тактики, которая, по мнению исследователей «может быть еще более опасной, чем считалось ранее».
Хотя исследователи не назвали целевые правительства, они сказали, что хакеры активно нацелены на Балканы и некоторые страны Центральной и Восточной Европы.
Вредоносная программа, получившая название LoJax, использует часть LoJack, противоугонное программное обеспечение, которое было подвергнуто критике за его жестокой настойчивости, делает его сложным для удаления - даже когда пользователь переустановит свою операционную систему. Arbor Networks обнаружил ранее в этом году, что агент LoJack теперь подключен к вредоносному серверу командования и управления, управляемому хакерами.
LoJax, как и другие руткиты, внедряется в прошивку компьютера и запускается при загрузке операционной системы. Поскольку он находится в флэш-памяти компьютера, требуется время, усилия и крайняя осторожность, чтобы перепрограммировать память с помощью новой прошивки.
Согласно исследованию, ESET заявила, что хакеры были «успешными хотя бы один раз» при написании вредоносного модуля в флэш-память системы.
Хотя атрибуция, как правило, сложна, исследователи обнаружили, что системы, пораженные LoJax, также содержали другие инструменты взлома, известные для использования Fancy Bear, включая бэкдоровские и прокси-инструменты, используемые для перенаправления сетевого трафика на серверы хакеров и с них.
Исследователи говорят, что есть профилактические меры. Поскольку руткит Fancy Bear неправильно подписан, функция безопасной загрузки компьютера может предотвратить атаку, правильно проверив каждый компонент в процессе загрузки. Обычно это можно включить в параметрах предварительной загрузки компьютера.
ESET сказал, что открытие " служит хэдз-апом, особенно для всех тех, кто может быть под прицелом Fancy Bear.”