Cybersecurity Malware Windows

LoJax: รูทคิท UEFI ตัวแรกจากกลุ่มแฮกเกอร์ Sednit

มัลแวร์ใหม่ที่กับความสามารถในการฝังตัวและทำงานก่อนบูทเครื่อง

นักวิจัยความปลอดภัยของ ESET พบส่วนประกอบของมัลแวร์ LoJax ที่ดำเนินการโดยกลุ่มแฮกเกอร์ Sednit ที่มีเป้าหมายเป็นองค์กรของรัฐบาลในประเทศแถบ Balkans และยุโรปกลางกับยุโรปตะวันออก

วันที่ 9 ตุลาคม 2018: เนื้อหาของ Remediation Section ในเอกสารมีข้อมูลไม่ถูกต้อง ระบบ Secure Boot ไม่สามารถป้องกัน UEFI จากรูทคิทในงานวิจัยนี้ได้ เราแนะนำให้คุณอัพเดตเฟิร์มแวร์ของ UEFI ให้เป็นเวอร์ชั่นล่าสุด

เป็นที่รู้กันอยู่ว่ารูทคิท UEFI เป็นเครื่องมือที่เป็นอันตรายในการโจมตีไซเบอร์ เพราะความสามารถในการหลีกเลี่ยงการตรวจจับและซ่อนตัวจากการลงระบบปฏิบัติการใหม่หรือแม้กระทั่งการเปลี่ยนฮาร์ดดิสก์ รูทคิทบางตัวถูกเสนอในรูปแบบของ Proof of Concept และยังไม่มีการตรวจจับรูทคิท UEFI ขึ้นมาจริงๆจนทางกลุ่มแฮกเกอร์ Sednit ปรากฏตัว

LOJAX: First UEFI rootkit found in the wild, courtesy of the Sednit group

การค้นพบรูทคิท UEFI ทำให้เราได้รู้สิ่งที่สำคัญ 2 อย่าง

อย่างแรกก็คือ UEFI เป็นภัยคุกคามชนิดร้ายแรง ไม่ได้เป็นเพียงแนวคิดหรือความเป็นไปได้อีกต่อไป สอง มันอยู่ในมือของกลุ่มแฮกเกอร์ที่มีความเกี่ยวข้องกับ Sednit หรือในชื่ออื่นๆอย่าง APT28, STRONTIUM, Sofacy และ Fancy Bear

กลุ่มแฮกเกอร์ Sednit เริ่มปฏิบัติการในช่วงปี 2004 และมีผลงานสร้างชื่อมากมาย เชื่อว่าพวกเขาอยู่เบื้องหลังการโจมตีองค์กรใหญ่ๆ อย่าง Dempcratic National Committee (DNC) ของสหรัฐฯก่อนการเบือกตั้งในปี 2016 และช่องโทรทัศน์ TV5Monde รวมถึง World Anti-Doping Agency (WADA) และอื่นๆ

การตรวจสอบของเราตั้งสมมติฐานว่าแฮกเกอร์สามารถเข้าถึง SPI Flash Memory ในโมดูล UEFI ที่สามารถวางและเริ่มทำงานมัลแวร์ได้ในขณะบูทเครื่อง และยังสามารถฝังตัวอยู่ในเครื่องแม้ลงวินโดวส์ใหม่ หรือเปลี่ยนฮาร์ดดิสก์ ทางเดียวที่จะกำจัดได้ก็คือทำความสะอาดเฟิร์มแวร์ UEFI

จาก LoJack เป็น LoJax

ในเดือนพฤษภาคม 2018 เว็บไซต์ Arbor Network โพสต์บล็อกเกี่ยวกับตัวอย่างโทรจัน LoJack ของ Absolute Software (rpcnetp.exe) ตัวอย่างอันตรายนี้มีความสามารถในการเชื่อมต่อเซิร์ฟเวอร์ C&C อันตราย แทนเซิร์ฟเวอร์จริงของทาง Absolute Software ด้วยการตั้งค่าแบบ Hardcoded บางโดเมนเคยถูกพบในตัวอย่างของ LoJax มาก่อน คาดว่าเป็นโดเมนที่กลุ่มแฮกเกอร์ Sednit ใช้ในช่วงปลายปี 2017

LoJack เป็นซอฟต์แวร์ป้องกันการโจรกรรม (Anti-Theft) ในเวอร์ขั่น Agent ก่อนหน้าใช้ชื่อว่า Computrace เมื่อเซอร์วิสเริ่มทำงานคอมพิวเตอร์จะเชื่อมต่อกับเซิร์ฟเวอร์ C&C เพื่อบอกตำแหน่งล่าสุดของอุปกรณ์ Computrace เป็นที่สนใจของกลุ่มคนเกี่ยวกับการรักษาความปลอดภัย เพราะกระบวนการมีอยู่ที่ไม่เหมือนใครสามารถป้องกันการติดตั้งระบบปฏิบัติการหรือลงวินโดวส์ใหม่ได้ หรือแม้กระทั่งการเปลี่ยนฮาร์ดดิสก์ก็เช่นกัน

วิธีการป้องกัน

หาก Secure Boot ที่มีไว้สำหรับป้องกันการโจมตีเฟิร์มแวร์ UEFI จะป้องกันการโจมตีที่เรานำเสนอไม่ได้ แต่ว่าเรายังคงแนะนำให้เปิดการป้องกัน Secure Boot ต่อไป

อัพเดตเฟิร์มแวร์เป็นหนึ่งในวิธีการป้องกันที่ทำได้ง่ายและมีประสิทธิภาพในการแก้ไขปิดช่องโหว่ของเมนบอร์ด แต่สำหรับคนส่วนมากการอัพเดตกลับเป็นสิ่งที่ถูกมองข้าม ทำให้งานความปลอดภัยตกอยู่กับผู้ผลิต UEFI/BIOS

Author: ESET Research
Source:
https://www.welivesecurity.com/2018/09/27/lojax-first-uefi-rootkit-found-wild-courtesy-sednit-group/
Translated by: Worapon H.

%d bloggers like this: