חוקרי ESET חשפו בכנס Blue Hat שנערך בארה"ב ביום חמישי האחרון מתקפת סייבר שעשתה שימוש ברוטקיט מסוג UEFI במטרה לבסס נוכחות במחשביהם של קורבנות המתקפה. עם הכינוי LoJax שהוענק לו על-ידי ESET, אותו רוטקיט היה חלק מקמפיין המופעל על-ידי קבוצת Fancy Bear הידועה לשמצה שפועלת בעיקר כנגד מטרות בעלות נוכחות בולטת במרכז ומזרח אירופה, ומהווה את המתקפה הראשונה מסוג זה המוכרת לציבור.
רוטקיטים מסוג UEFI הם כלים מסוכנים ביותר שמאפשרים אחיזה ברמת הזיכרון השמור פיזית בחומרה של לוח האם. הם קשים לזיהוי ומסוגלים לשרוד אמצעים קיצוניים כמו התקנה מחדש של מערכת ההפעלה או אפילו החלפת דיסק קשיח. ניקוי מערכת הנגועה ברוטקיט מסוג UEFI דורש עדכון (flashing) הקושחה של ה UEFI (חשוב להתקין תמיד עדכון firmware של UEFI רק על הדגם המדויק שלו הוא מיועד).
Sednit, הידועה גם כ- APT28, STRONTIUM, Sofacy או Fancy Bear היא אחת מקבוצות ה-APT הפעילות ביותר הפועלת משנת 2004 לפחות. האמונה הרווחת היא כי הפריצה לוועידה הדמוקרטית הלאומית שהשפיעה על בחירות 2016, הפריצה לרשת הטלוויזיה העולמית TV5Monde, דליפת המיילים של הסוכנות הבינלאומית נגד שימוש בסמים ופריצות רבות אחרות, בוצעו על-ידי Sednit.
הקבוצה מחזיקה בארסנל שלה מגוון רחב של תוכנות זדוניות, דוגמאות אחדות שחוקרי ESET תיעדו במחקר שלהם, כמו גם בלוגים רבים ב- WeLiveSecurity.

גילויו הראשון אי פעם של רוטקיט מסוג UEFI בשטח חשוב משתי סיבות:
1. הוא מוכיח שנוזקות שמדביקות את ה UEFI הן לא רק נושא מעניין לכנסי אבטחה, אלא איום אמיתי בשטח.
2. הוא מהווה נורת אזהרה עבור ארגונים ומשתמשים שעלולים להיות מטרה של קבוצות תקיפה כמו Fancy Bear, ומראה שהיכולות של הקבוצה מסוכנות אף יותר ממה שהיה ידוע עד כה.

מ-Lojack ל-LoJax
כתבנו רק לפני שבועיים בעדכון טכני על הזיהוי שהוספנו עבור התוכנה, שהוא בקטגוריית Potentially Unsafe Applications.
LoJack היא תוכנת אנטי גניבה שמגיעה בצורה מובנית ב UEFI של לפטופים ומחשבים ממותגים של היצרניות הגדולות בעולם. גרסאות מוקדמות יותר של סוכן זה נודעו כ-Computrace. כפי שמרמז שמו הקודם, ברגע שהשירות הופעל, המחשב היה מתקשר בחזרה עם שרת ה-C&C שלו ואילו בעליו היה מקבל הודעה בנוגע למיקומו, במקרה שנעלם או נגנב. Computrace משך תשומת לב בקהילת האבטחה לאורך השנים האחרונות, בעיקר עקב שיטת ההתמדה הנדירה.
מאחר שהכוונה מאחורי התוכנה היא להגן על מערכות בפני גניבה, ישנה חשיבות לכך שלא יהיה ניתן להסיר אותה בהתקנה מחדש של מערכת הפעלה או החלפת דיסק קשיח. לפיכך, היא מופעלת כמודול UEFI/BIOS, עם היכולת להוסיף ולהתקיים גם באירועים כאלו. הפתרון מגיע מותקן מראש בקושחה של מספר גדול של מחשבים ניידים המיוצרים על-ידי יצרניות ציוד מקורי, מוכן להפעלה על-ידי הבעלים.

במאי 2018 פוסט בבלוג של Arbor Networks תיאר מספר דגימות טרויאניות של הסוכן הקטן של התוכנה של חברת Absolute, rpcnetp.exe. דגימות אלו תקשרו עם שרת C&C (Command & Control) זדוני במקום עם השרת הלגיטימי של Absolute, כיוון שהגדרות הקונפיגורציה המובנות בתוכנה (hardcoded) שונו. חלק מהדומיינים שנמצאו בדגימות LoJax כבר נראו בעבר; הם שימשו בשלהי 2017 כדומיינים של C&C עבור דלת אחורית (Backdoor) שלב-ראשון הידועה לשמצה של Sednit: SedUploader. בשל השימוש הזדוני בסוכן הקטן LoJack בקמפיין, אנו מכנים את התוכנה הזדונית LoJax.
ניתוח קמפיין Sednit של ESET, העושה שימוש ברוטקיט UEFI הפעיל הראשון, מתואר בפירוט במחקר, LoJax: First UEFI rootkit found in the wild, courtesy of the Sednit group

לקוחות ESET בגרסה הביתית 11 ומעלה מוגנים בפני Lojax ונוזקות UEFI נוספות באמצעות מנגנון ה UEFI Scanner Module.
המנגנון יתווסף גם לגרסה 7 העסקית, שתושק בישראל ב 1 לנובמבר.