首个已知 UEFI Rootkit 与 Sednit APT 有关联

研究人员报告首个已知的 UEFI Rootkit 与俄罗斯网络间谍组织 Sednit APT(aka Sofacy、Fancy Bear 和 APT28))有关联。安全公司 ESET 的恶意程序研究员 Frederic Vachon 在上周举行的 35C3 会议上谈论了这一发现(PDF)。此类的恶意程序具有持久性和隐身性,能在主板刷 BIOS 后继续留在系统里。研究人员称,UEFI Rootkit 过去几年热烈讨论过和研究过,但真正用于实际攻击的案例不多。该 Rootkit 被称为 LoJax,它的底层代码使用了修改版的 Absolute Software 恢复软件 LoJack。合法的 LoJack 软件藏身于 UEFI 内,旨在帮助失窃笔记本电脑的受害者访问他们被盗的设备,让受害者有机会重新找回电脑。

发表评论

电子邮件地址不会被公开。 必填项已用*标注