Fancy Bear (известен също като APT18, Pawn Storm, Sofacy Group, Sednit и STRONTIUM) е руска кибер- шпионска група, специализирана в кибератаки, класифицирани като Усъвършенствани заплахи (Advanced Persistent Threats-APT). APT се характеризират със своята сложност, поради това, че са насочени към определени избрани компании или организации и за способността им да се прокрадват покрай традиционните защитни механизми.
В своята си най-нова разработка Fancy Bear се вписват перфектно в това ниво на сложност: това е LoJax и е част от зловреден софтуер, който е в състояние да оцелее в преинсталирана операционна система. Това го прави особено опасен за компании и институции, които нямат защита срещу такъв вид атаки.
Как действа LoJax?
LoJax действа като rootkit, т.е. програма или набор от инструменти, които осигуряват достъп до администрацията на компютъра или мрежата, като остават скрити. Но това, което прави LoJax толкова специален, е, че той е първият rootkit, който директно атакува Унифициран разширен интерфейс на фърмуера(UEFI).
А какво е UEFI? UEFI е наследник на BIOS – ключът към всеки компютър, тъй като и двата са фърмуер, съхранявани на отделна памет, намираща се в дънната платка; и двата съдържат инструкциите, които контролират операциите на компютъра, което означава, че той не се разчита на операционни системи.
Съответно, LoJax се възползва от уязвимостта в Computrace LoJack, част от софтуер, който се доставя предварително инсталиран на UEFI на много компютри. Този софтуер изпраща информация за местоположението на компютъра, както и позволява да бъдат изтривани или блокирани файлове в случай на кражба. Тъй като е механизъм за борба с кражбите, LoJack е проектиран да остане на компютъра, дори и операционната система да бъде преинсталирана или заменена на твърдия диск. Tова са двата елемента, които крадците обикновено променят след кражба на лаптоп. Начинът, по който LoJax има достъп до UEFI и LoJack, е чрез използване на двоични файлове, които събират информация за хардуера, от операционната система. Така те „закърпват“ UEFI, скриват злонамерения код и пишат отново, всичко от Windows. По този начин кибер престъпникът може да поеме пълния контрол над UEFI.
Как да избегнете атаки като LoJax
LoJax не е опасен само поради възможността да инфектира UEFI, но и поради факта, че много решения за киберсигурност, включително корпоративните решения за киберсигурност, които присъстват в много компании, напълно пренебрегват Computrace LoJack и софтуера UEFI, тъй като го класифицират за безопасен.
Поради тази причина, LoJax изтъкна рязко факта, че организациите трябва да предприемат мерки за киберсигурност, които надхвърлят тези, имащи за цел само да защитят операционните системи.
По-долу сме посочили някои от нашите препоръки:
- Сигурен режим на зареждане: добрата новина е, че rootkit на Fancy Bear не е правилно подписан, т.е. сигурно е регистриран като останалата част от общия хардуер, инсталиран и открит в UEFI. Следователно първата мярка за сигурност е активирането на UEFI Secure Boot Mode на компютрите на компанията. Когато този режим е активиран, всички компоненти на фърмуера трябва да са правилно подписани и да не позволяват стартирането на тези, които показват някакви нередности, какъвто би бил случаят с LoJax.
- Модернизиране на компютърните чипсети. Уязвимостите, открити в Computrace LoJack, които позволяват на атаката на LoJax, работят само със стари настройки на UEFI. Петата серия чипсети на Intel, представена за пръв път през 2008 г., има платформени контролери, които са доказали, че са имунизирани срещу LoJax.
- 360-градусови решения за сигурност. Във всеки случай, за да се осигури обща защита от злонамерен софтуер, препоръчително е да имате 360º решения за сигурност, които надхвърлят откриването на уязвимости във точките за вход и също така да вземат под внимание сигурността на крайната точка. От жизненоважно значение е да разполагате с решения, които автоматизират предотвратяването, откриването, ограничаването и реакцията на всяка усъвършенствана заплаха, като APT. Нашият разширен пакет за киберсигурност, Panda Adaptive Defense, е в състояние да следи абсолютно всички възможни кибер атаки и нежелани достъпи. Освен това, той има допълнителен модул, който се грижи за един аспект, който често се пренебрегва: инсталирането на кръпки и актуализации. Нашето 360º решение съчетава подробна видимост на активността по крайните точки, контрол на всички текущи процеси и намаляване на повърхността на атаката, за да предпази компаниите от попадане в атаки, без значение колко сложни са те.
Източник: Panda Media Center
За Panda Security
Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др.).
Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение.
За допълнителна информация:
Компютел ООД – Официален представител на Panda Security за България
София: 02/ 813 28 11
Пловдив: 032/ 62 16 08