A ESET, empresa líder em detecção proativa de ameaças, anuncia a descoberta do primeiro ataque cibernético que usa um rootkit UEFI, software malicioso capaz de infectar e obter controle do dispositivo da vítima.
O LoJax, nome dado pela ESET, pertence a uma campanha do grupo criminoso cibernético Sednit. Os rootkits da UEFI são ferramentas muito perigosas no mundo do cibercrime, pois permitem assumir o controle do dispositivo, independentemente do sistema operacional utilizado, são difíceis de descobrir e podem sobreviver até mesmo às medidas de segurança mais comuns, como reinstalação do sistema ou substituição do disco rígido.
Além disso, a limpeza de um sistema infectado por um Lojax deve ser realizada por profissionais especializados e com alto nível de conhecimento.
"Estávamos cientes da existência de rootkits UEFI, mas a descoberta feita por nossos pesquisadores mostra seu uso por um grupo ativo conhecido por cibercriminosos. Não é uma prova de competência para mostrar em uma conferência de segurança, mas uma ameaça real, avançada e persistente ", diz Josep Albors, chefe de pesquisa e conscientização da ESET.
O Sednit – também conhecido como APT28, Strontium, Sofacy ou Fancy Bear – é o responsável pelo ataque. É um grupo de cibercriminosos ativos desde 2004, que o Departamento de Justiça dos Estados Unidos acusou de ser responsável pelo ataque ao Comitê Nacional Democrata, que ocorreu antes das eleições de 2016 nos Estados Unidos.
Presume-se também que o grupo esteja por trás da investida à rede de televisão global TV5Monde; filtrando e-mails da Agência Mundial Antidopagem (WADA) e outros ao redor do mundo.
A descoberta desse malware, usado como uma ferramenta de ataque pela primeira vez, é uma chamada de alerta para usuários e organizações que ignoram os riscos de um mundo ultra conectado. "Essa descoberta deve servir para reforçar a necessidade da análise regular também do firmware dos dispositivos usados ??em uma organização.
É verdade que os ataques UEFI são extremamente raros e até agora estavam limitados à manipulação do dispositivo afetado, mas um ataque como esse pode levar um invasor a obter o controle completo do dispositivo com uma persistência praticamente total ", lembra Albors.
A ESET é o único fabricante do setor de segurança que adiciona uma camada dedicada de proteção em soluções de terminais, projetadas especificamente para detectar componentes maliciosos no firmware do dispositivo.