俄罗斯政府支持的黑客似乎正在使用恶意软件即使重新安装了操作系统,这些漏洞仍然会在Windows电脑上存在。
安全公司ESET发现了强大的恶意软件,名为Lojax,感染了受害者的电脑,并怀疑恶意代码来自黑客组织花哨的熊.
这次攻击的目标是计算机的UEFI,代表“统一可扩展固件接口”,用于引导系统。通过重写UEFI,恶意软件可以持续存在于计算机的闪存中,使其能够在重新安装操作系统和更换硬盘时存活下来。
ESET在一份报告中表示,要清除恶意软件,就意味着要进入并覆盖闪存的内存,“这是一个不常见的操作,当然也不是一般用户会做的。博客(在新窗口打开).
ESET没有透露受感染计算机的所有者,但该安全公司表示,他们已经发现Fancy Bear在巴尔干半岛和其他中欧和东欧国家的政府机构中使用Lojax的不同组件。
根据ESET的说法,Lojax是第一次基于uefi的rootkit曾经在现实世界中被发现攻击计算机系统。在此之前,专家们主要将UEFI rootkit视为一种理论上的攻击,尽管有证据表明,私人安全公司正在向政府客户出售黑客工具。
ESET说:“这是一个提醒,尤其是对所有可能成为(Fancy Bear)目标的人来说。”这个黑客组织,也被称为Sednit,被指责对政府组织进行了一系列攻击,包括违反2016年总统竞选期间民主党全国委员会的计算机网络。今年早些时候,美国联邦调查人员带电12名俄罗斯军官参与了民主党全国委员会的黑客行动。
ESET表示,Lojax的行为模仿了一款名为失寻回系统,(在新窗口打开)这款防盗产品也很难从个人电脑中移除。“由于该软件的目的是保护系统免受盗窃,因此它抵制操作系统重装或硬盘驱动器更换是很重要的。因此,它被实现为UEFI/BIOS模块,能够在此类事件中幸存下来,”ESET表示。
Fancy Bear似乎已经将LoJack防盗产品武器化,以帮助该组织攻击计算机并绕过安全软件。ESET指出,许多防病毒厂商将允许LoJack在PC上运行,前提是系统进程是安全的。
目前还不清楚Fancy Bear是如何传播恶意软件的,但它可以用来下载其他恶意软件模块到受感染的计算机上。ESET在一份单独的报告中说:“由于LoJax的最佳特性是隐形和持久,它肯定可以用来帮助确保关键资源的访问得以保持。报告(在新窗口打开).
这家安全公司怀疑Lojax是由Fancy Bear开发的,部分是基于恶意软件与之通信的命令和控制服务器。这些服务器的域名以前被用于托管Fancy bear开发的其他黑客工具。
好消息是,你可以通过一个名为“安全引导”的PC行业功能来阻止Lojax攻击,该功能将检查你的所有PC部件(包括固件)是否都经过了制造商颁发的有效代码签名证书的认证。Lojax恶意软件将无法通过这个检查。在Windows 10中,安全引导通常是默认激活的。要打开或关闭它,你可能需要重新启动你的电脑,然后进入(在新窗口打开)进入BIOS以访问该特性。
ESET还建议PC用户更新主板固件,以防止黑客利用代码中的漏洞。