Wirusy to temat, który ciągnie się jak sznurek w kłębku. Oczywiście, żeby nie było nudno, w świecie komputerowym pojawiło się nowe, złośliwe oprogramowanie. Zostało nazwane LoJax.
Od wirusów chyba nie uciekniemy. Im systemy są bardziej popularne, tym bardziej narażone są na ataki. Jedyne, co możemy robić, to im przeciwdziałać.
Historia wirusów komputerowych sięga 1971 roku.
Według informacji w sieci, zagrożenie to zostało nazwane Creeper i był to robak. Uznaje się go za najstarszego w historii. Został stworzony przez Boba Thomasa pracującego w BBN. Wirus działał w systemie TENEX (TOPS-20) w sieci ARPANET. Jak donoszą informacje, autor stworzył wirusa dla zabawy. Nie robił on w sumie nic złego. Jego działanie polegało na tym, by wyświetlać na kolejno infekowanych przez sieć komputerów krótkiego komunikatu: “Jestem Creeper, złap mnie, jeśli potrafisz?“.
Teraz wirusy wyrządzają o wiele większą szkodę.
Hackerzy i twórcy złośliwego oprogramowania rozbestwili się niemiłosiernie. Z dnia na dzień pojawiają się coraz to nowe zagrożenia. Muszę przyznać, że ich wyobraźnia czasami mnie zaskakuje. Bardzo interesuje mnie temat wirusów komputerowych i jestem mocno zaciekawiony, jak wygląda ich specyfika i budowa. Tym bardziej zwróciłem uwagę na LoJaxa.
Jest to robak, jedyny w swoim rodzaju.
Myślę, że takiego rootkita jeszcze nie było. LoJax jako pierwsze w historii złośliwe oprogramowanie zagnieżdża się w UEFI. Dla tych, którzy nie bardzo są świadomi tego, czym UEFi jest, nadmienię, że jest to interfejs pomiędzy systemem operacyjnym a firmware, opracowywany jako następca BIOS-u w komputerach osobistych. Oznacza to, że w przypadku zainfekowania tym szkodliwym oprogramowaniem, nie pomoże nawet wymiana dysku twardego. Wirus został odkryty przez firmę ESET. Omawiane zagrożenie zagnieżdża się w jednym z układów scalonych na płycie głównej komputera, gdzie przechowywany jest UEFI.
Wirus LoJax po przejęciu kontroli nad systemem operacyjnym nadpisuje UEFI złośliwym kodem.
Musicie przyznać, że nie wygląda to zbyt zadowalająco. Co więcej, jak donoszą eksperci, za wyrachowanym atakiem stoi znana grupa cyberprzestępcza Sednit, która ma na swoim koncie ataki m.in. na placówki dyplomatyczne i instytucje finansowe na całym świecie, w tym również jedną z polskich instytucji finansowych. Jej członkami są hakerzy, którzy od ponad 10 lat wielokrotnie atakowali wybrane cele w krajach Europy Wschodniej i Azji. Jak widać, tym razem naprawdę się postarali. Robak jest szalenie niebezpieczny i trudny do usunięcia.
Przyjrzyjmy się może zasadzie działania tego oprogramowania.
Kiedy użytkownik uruchamia zarażony wirusem komputer, włącza się też koń trojański w systemie operacyjnym. Wszystko przez to, że siedzi w UEFI. Wzmiankowany wirus komunikuje się następnie z serwerem cyberprzestępców C&C i pobiera z niego, a następnie instaluje w systemie docelowe zagrożenie. Powiem szczerze, że wygląda to naprawdę poważnie i jestem bardzo zaniepokojony pojawieniem się takiego zagrożenia w sieci.
Czy jest zatem możliwość ochrony przed tym wirusem?
Przeanalizujmy sytuację na spokojnie, bez zbędnych emocji. Pamiętamy, że aby doszło do infekcji, najpierw musimy wpuścić zagrożenie na swój komputer. Wirus ukrywa się w pozornie niezainfekowanej aplikacji. Musimy uważnie instalować programy w naszych systemach. Nie jest to pierwszy raz, kiedy o tym wspominamy. Na naszym blogu bardzo często pojawiają się artykuły, uczące, jak zadbać o bezpieczeństwo naszych systemów operacyjnych. Jest to niezmiernie ważne, aby nauczyć się higieny pracy w sieci. Zwłaszcza kiedy krążą po niej takie zagrożenia jak LoJax.
Rynek wirusów komputerowych to nie targ aplikacji, które wysyłaj nam zabawne powiadomienia.
To już market bardzo złośliwego oprogramowania, które nie tylko utrudnia życie użytkownikowi. Dochodzi przecież już do nadużyć, związanym z atakami na użytkowników. Systemy są blokowane, dane wykradane, a sprzęt i oprogramowania uszkadzane. Jest to na tyle rozległy temat, że nie możliwe jest jego wyplenienie. To tak, jak z wirusami biologicznymi. Nie możemy ich wybić, ale możemy się przed nimi bronić.
Ważne jest, aby nie ignorować próśb o aktualizację systemu i aplikacji.
Użytkownicy uważają update-y za bardzo uciążliwe i przeszkadzające w codziennym funkcjonowaniu w “elektronicznej florze”. Osoby, które tak narzekają na aktualizacje, nie zdają sobie sprawy, jak ważne są one dla systemu. Przede wszystkim, wprowadzają do systemu poprawki i łatki. Chodzi o to, że jeżeli jakiś user wykrył lukę lub programistę/testera, to można ją naprawić. Robi się to poprzez wysłanie do kodu poprawki/hotfixa i jego zmergowanie. Jeżeli chcemy, aby takowa zmiana znalazła się w naszym systemie, musimy dokonać jego odnowienia, czyli właśnie aktualizacji.
Eksperci z ESET polecają swoje oprogramowanie do ochrony przez LoJax-em.
Zapewniają, że aby skutecznie zabezpieczyć się przed infekcją LoJax, konieczne jest posiadanie rozwiązania, które ma możliwość analizy i zabezpieczenia przed infekcją właśnie UEFI. Według nich, rozwiązania, które proponują, są jedynymi na rynku, które potrafią sobie poradzić w takiej sytuacji.
– Bez stosownego zabezpieczenia LoJax jest wyjątkowo trudny do usunięcia – formatowanie dysku, a nawet jego wymiana, nie eliminują wirusa z zainfekowanego komputera – wyjaśnia Kamil Sadkowski z ESET – wirus nie ukrywa się bowiem w systemie lub na dysku, ale w układzie scalonym płyty głównej – dodaje Sadkowski.
– Jeżeli zagrożenie EFI/LoJax.A zostanie wykryte na naszym komputerze, niestety nie pozostaje nic innego, tylko tzw. reflashing firmware, czyli przywrócenie UEFI do ustawień fabrycznych – tłumaczy Kamil Sadkowski z ESET.
Pełną analizę zagrożenia LoJax dostępną w języku angielskim znajdziemy w przygotowanym przez ESET raporcie: https://www.eset.pl/resources/documents/news/2018/ESET-lojax.pdf
Źródło: ESET