Conheça o primeiro rootkit ativo que permite controle total de qualquer dispositivo

A Eset, empresa de detecção proativa de ameaças, anuncia a descoberta do primeiro ataque cibernético que usa um rootkit UEFI, software malicioso capaz de infectar e obter controle do dispositivo da vítima. O LoJax, nome dado pela Eset, pertence a uma campanha do grupo criminoso cibernético Sednit.

Os rootkits da UEFI são ferramentas muito perigosas no mundo do cibercrime, pois permitem assumir o controle do dispositivo, independentemente do sistema operacional utilizado, são difíceis de descobrir e podem sobreviver até mesmo às medidas de segurança mais comuns, como reinstalação do sistema ou substituição do disco rígido. Além disso, a limpeza de um sistema infectado por um Lojax deve ser realizada por profissionais especializados e com alto nível de conhecimento.

Rootkit UEFI

“Estávamos cientes da existência de rootkits UEFI, mas a descoberta feita por nossos pesquisadores mostra seu uso por um grupo ativo conhecido por cibercriminosos. Não é uma prova de competência para mostrar em uma conferência de segurança, mas uma ameaça real, avançada e persistente”, diz Josep Albors, chefe de pesquisa e conscientização da ESET.

O Sednit – também conhecido como APT28, Strontium, Sofacy ou Fancy Bear – é o responsável pelo ataque. É um grupo de cibercriminosos ativos desde 2004, que o Departamento de Justiça dos Estados Unidos acusou de ser responsável pelo ataque ao Comitê Nacional Democrata, que ocorreu antes das eleições de 2016 nos Estados Unidos. Presume-se também que o grupo esteja por trás da investida à rede de televisão global TV5Monde; filtrando e-mails da Agência Mundial Antidopagem (WADA) e outros ao redor do mundo.

A descoberta desse malware, usado como uma ferramenta de ataque pela primeira vez, é uma chamada de alerta para usuários e organizações que ignoram os riscos de um mundo ultra conectado. “Essa descoberta deve servir para reforçar a necessidade da análise regular também do firmware dos dispositivos usados em uma organização. É verdade que os ataques UEFI são extremamente raros e até agora estavam limitados à manipulação do dispositivo afetado, mas um ataque como esse pode levar um invasor a obter o controle completo do dispositivo com uma persistência praticamente total”, lembra Albors.