«LoJax» – это переделанный агент LoJack, который изначально служил защите ноутбуков от краж. ESET Research опубликовала документ, где подробно описываются обнаруженные кампанией вредоносные программы, использующие модифицированный коммерческий софт.
Вирусы активно распространяются, по меньшей мере, с начала 2017 года. Они создают бэкдоры в прошивке компьютеров, способны пережить переустановку операционной системы, и даже замену жесткого диска. Хотя вирус был обнаружен раньше, исследование ESET только сейчас открыло, что он внедряется в прошивку компьютеров, чтобы гарантированно остаться в системе.
«LoJax» - это первая вредоносная программа, использующая систему загрузки Unified Extensible Firmware Interface (UEFI) для атаки. И исходя из анализа кода и действий, совершённых этим вирусом, ESET предполагает, что он разработан Sednit / Fancy Bear / APT 28 - хакерской группой, которую разведка США связывает с Россией.
То, что UEFI может иметь серьёзные уязвимости, давно предупреждали специалисты в этой области. И доподлинно известно, что в Extensible Firmware, предшественнике UEFI, были уязвимости, которые использовали специалисты из ЦРУ. Но тогда требовался физический доступ к компьютерам.
LoJax - совершенно другое дело. Он был создан для развертывания удаленно, используя вредоносные программы, которые могут читать и перезаписывать части флэш-памяти прошивки UEFI.
1 мая компания Arbor Networks сообщила об обнаружении троянов под видом агентов программы LoJack, которые были модифицированы для связи с серверами, с которыми активно взаимодействуют Fancy Bear. Те же домены использовались в 2017 году для бэкдора, известного как SedUploader.