Группа исследователей из компании ESET, одного из самых крупных разработчиков антивирусного ПО в мире, заявила, что обнаружила доказательства того, что хакерская группа “FancyBear” (она же APT28), ассоциируемая с Россией, начала использовать более сложный вид вредоносного ПО для достижения своих целей. По мнению специалистов, этот факт многократно увеличивает возможности хакеров ко взлому и последствия от их действий будут более значительными, чем это считалось ранее.
Хотя в ESET и не назвали конкретных адресатов угрозы, но заявили, что хакеры активно вмешиваются в работу сайтов балканских стран и стран центральной и восточной Европы.
Вредоносная программа LoJax использует часть кода антивирусной программы LoJack. Которая подвергалась критике за своё сопротивление попыткам удаления: даже при переустановке операционной системы программа продолжала функционировать. Вначале 2018 года при мониторинге было обнаружено, что утилита LoJack теперь подключена к стороннему серверу.
LoJax представляет собой программу-руткит, которая прописывается в BIOS компьютера и загружается при запуске ОС. Поэтому требуется особая осторожность при перепрограммировании микросхемы BIOS для удаления вредоносного кода.
Напомним, что хакеров из FancyBear считают ответственными за взлом сервера Демократической партии США и влиянии на прошедшие в 2016 году президентские выборы. Хакерам также приписывается взлом почтовых ящиков различных сенаторов, сайтов соцсетей, конфиденциальной информации о медобследовании олимпийский атлетов, вмешательство в выборы президента Франции и многое другое.
Представители ESET сообщили, что превентивной защитой от LoJax будет включение функции SecureBoot в BIOS, которая препятствует загрузке вируса из-за неправильной цифровой подписи последнего.
