Onderzoekers van beveiligingsbedrijf ESET hebben een uefi-rootkit aangetroffen. De malware blijft in de firmware, ook na een nieuwe installatie van het besturingssysteem of het wisselen van de harde schijf. De rootkit wordt in het wild misbruikt.

Volgens ESET waren er al wel eerder berichten over het bestaan van uefi-rootkits, zoals in een Vault7-release van WikiLeaks en via een uitgelekt document van Hacking Team, maar een dergelijke rootkit zou nog nooit bij een daadwerkelijk besmette computer aangetroffen zijn. Volgens de ESET-telemetrie werd de malware nauwelijks gebruikt en is deze ingezet tegen overheidsinstanties in de Balkan en Centraal en Oost Europa. Verder zouden er aanwijzingen zijn die naar gebruik door Sednit leidde, de groepering die ook APT28, Sofacy, Strontium en Fancy Bear genoemd wordt en die in verband gebracht wordt met de Russische spionagedienst.

ESETs onderzoek begon bij een versie van LoJack of Computrace, die was voorzien van een trojan. LoJack is antidiefstalsoftware van het bedrijf Absolute Software, die opviel door het gebruik van een uefi-module, waarmee een dief de software niet kon omzeilen door het OS opnieuw te installeren. De versie met malware, die ESET LoJax noemt, maakte echter verbinding met een onbekende command & control-server in plaats van die van Absolute Software.

De malware bleek echter ook code te bevatten om een uefi-image te onttrekken, deze aan te passen en de versie met trojan weg te schrijven naar het spi-geheugen. Hoewel deze eigenschap van de uefi-rootkit op bepaalde firmware gericht is, noemt ESET het een krachtige tool voor aanvallers, vanwege de persistentie, de lastige detectie en het feit dat opnieuw flashen geen alledaagse bezigheid is voor de gemiddelde gebruiker.

UEFI

Reacties mogelijk gemaakt door CComment