Ruski hakeri koriste malver koji može da preživi reinstalaciju sistema
Prema navodima kompanije ESET, ruski hakeri koriste malver koji može da opstane na Windows računaru čak i nakon kompletne reinstalacije sistema.
Ova firma je otkrila malver pod nazivom „Lojax“ koji dolazi iz hakerske grupe poznate pod nazivom „Fancy Bear„. Malver prolazi sigurnosne štitove (poput antivirusnih softvera) tako što imitira ponašanje alata „LoJack„. Taj alat služi za zaštitu računara od krađe, što znači da ga je svakako teško ukloniti iz računara.
„Obzirom na to da je taj softver namenjen za zaštitu sistema od kradljivaca, bitno je da bude otporan na uklanjanje prilikom reinstalacije sistema ili zamene čvrstog diska. Zbog toga se implementira u sam UEFI/BIOS čip“ – navode iz ESET-a.
Fancy Bear su „naoružali“ LoJack i stvorili malver koji ima mogućnost prolaženja kroz zaštitu u računaru. ESET navodi da mnogi proizvođači sigurnosnih alata za računar puštaju LoJack da radi jer je namenjen za zaštitu od krađe te mu je potrebna sva mogaća dozvola sistema.
Kada Lojax inficira UEFI modul, može tu da ostane i nakon zamene HDD-a. Jedini način za njegovo uklanjanje jeste flešovanje UEFI firmware-a, što mnogi korisnici ne znaju da urade.
Iz ESET-a su rekli da je Lojax prvi UEFI Rootkit viđen u realnoj upotrebi. Do sada su sigurnosni stručnjaci samo pričali o mogućim UEFI Rootkit-ovima, mada ih nikada niko nije koristio.
Ova kompanija nije htela da otkrije vlasnika računara na kojem su otkrili malver. Međutim, upozorili su da je grupa Fancy Bear koristila različite komponente Lojax-a za inficiranje sistema vladinih organizacija na Balkanu i još nekim centralnim i istočnim evrospkim državama.
Ipak, dobra vest za sve korisnike je što se računar može zaštititi od Lojax-a prostim uključivanjem opcije „Secure Boot„. Ova opcija proverava da li su sve komponente računara, zajedno sa firmware-om, autentične sa digitalnim sertifikatom koji je izdao proizvođač. Lojax jednostavno ne prolazi ovu proveru. Secure Boot opcija je podrazumevano omogućena za Windows 10 sisteme, a ako kod nekoga nije može je ručno uključiti u opcijama BIOS-a.
Secureboot uvek mora da se ugasi da bi radila sedmica normalno :/
JBG sad