ESET onderzoekers ontdekken LoJax, de allereerste UEFI rootkit gedetecteerd tijdens een cyberaanval

ESET-onderzoekers hebben een cyberaanval ontdekt, die een UEFI-rootkit gebruikte om zich op de computers van de slachtoffers te vestigen. Deze rootkit, door ESET LoJax gedoopt, is onderdeel van een campagne door de beruchte Sednit-groep en richtte zich op verschillende, spraakmakende doelwitten in Midden- en Oost-Europa. Het is voor het eerst dat een dergelijke aanval in de openbaarheid komt.

Dave Maasland, CEO bij ESET Nederland: “Het vermoeden bestond al langer dat misbruik kon worden gemaakt via de UEFI van computers. Tot nu ontbrak daarvoor het harde bewijs. In Nederland zijn er op dit moment geen gevallen bekend van cyberaanvallen met deze malware genaamd LoJax. Desondanks is het raadzaam om op onze hoede te zijn voor deze serieuze bedreiging, want de techniek kan in de toekomst vaker gebruikt worden. Elke organisatie dient zich hiervan bewust te zijn.”

Wat doet een UEFI-rootkit?
UEFI-rootkits zijn buitengewoon gevaarlijke hulpmiddelen voor de lancering van cyberaanvallen. Ze fungeren als een sleutel voor de hele computer, zijn moeilijk te detecteren en zijn in staat om cybersecurity-maatregelen te overleven, zoals herinstallatie van het besturingssysteem of zelfs vervanging van een harde schijf. Bovendien vereist het reinigen van een geïnfecteerd systeem kennis die de pet van de gemiddelde UEFI-rootkit gebruiker ver te boven gaat. Denk daarbij aan het flashen van de firmware.

Meest actieve APT-groepen
Sednit (ook bekend als APT28, STRONTIUM, Sofacy en Fancy Bear) is een van de meest actieve APT-groepen en opereert sinds tenminste 2004. Naar verluidt was de groep verantwoordelijk voor de hack van de Democratische Nationale Commissie, om daarmee de Amerikaanse verkiezingen van 2016 te beïnvloeden. Ook het hacken van het wereldwijde televisienetwerk TV5 Monde, het World Anti-Doping Agency (WADA) e-maillek en vele andere hacks zouden het werk van Sednit zijn. Deze groep beschikt over een arsenaal aan gediversificeerde malwarehulpmiddelen. ESET-onderzoekers hebben hierover gepubliceerd in een whitepaper en talloze blogposts op WeLiveSecurity.

Wake-up call
Maasland “De ontdekking van de allereerste in-het-wild UEFI-rootkit is een wake-up-call voor gebruikers en hun organisaties die vaak de risico’s van firmware-aanpassingen negeren. Nu is er geen excuus meer om firmware uit te sluiten bij het normaal scannen. UEFI-gefaciliteerde aanvallen zijn uiterst zeldzaam en tot nu toe was het niet meer dan fysiek knoeien met de doelcomputer. Een succesvol uitgevoerde aanval met een UEFI-rootkit zou echter leiden tot de volledige controle over een computer, met bijna volledige persistentie.”

Speciale beveiligingslaag voor UEFI
ESET maakt gebruik van een beveiligingstechniek, die het mogelijk maakt om in UEFI te scannen.

Whitepaper
ESET’s analyse van de Sednit-campagne die de eerste in-the-wild UEFI-rootkit gebruikt, is te lezen in de whitepaper LoJax: eerste UEFI-rootkit gevonden in het wild, met dank aan het Sednit-groep

Gerelateerde berichten...