بدافزار LoJax؛ مهمان ناخوانده‌ای که نمی‌توانید آن را از سیستم خود بیرون کنید!

پژوهشگران کمپانی امنیتی ESET پرده از دور تازه‌ای از حملات گروه Sednit پرده برداشته‌اند که Firmware مادربرد سیستم‌ها و لپ تاپ‌ها را به RootKit آلوده می‌کند، از این رو پاک‌سازی سیستم با آنتی‌ویروس یا حتی نصب مجدد سیستم عامل و فرمت کردن SSD یا هارد دیسک بی نتیجه خواهد بود.

این پژوهشگران نشان داده‌اند دیگر RootKit های UEFI یک تهدید نظری نیستند و در دنیای واقعی  هم اکنون وجود دارند. آنها حملات مورد بحث را کار گروه Sednit می‌دانند که با اسم‌های دیگری چون Fancy Bear نیز شناخته می‌شود و به دولت روسیه نسبت داده می‌شود. حالا می دانیم هکرها راهی یافته‌اند تا بتوان تراشه حافظه BIOS مادربرد را به بدافزار آلوده کرد. با آلوده شدن تراشه حافظه نگه دارنده UEFI که به عنوان SPI Flash شناخته می شود، با هر بار راه اندازی سیستم بدافزارها بارگذاری می‌شوند و عملاً راه دیگری جز فلش زدن Firmware سالم برای پاک کردن آن وجود ندارد.

مکانیزم ماندگاری LoJack

بدافزار مورد بحث که LoJax نام گرفته، یک فایل اجرایی به نام  autochk.exe را به تراشه حافظه Firmware مادربرد تزریق می‌کند، پس از آن هنگام راه اندازی سیستم، autochk.exe بر روی یک پارتیشن از حافظه‌های ذخیره سازی متصل به سیستم کپی می‌شود. در نهایت  autochk.exe در مراحل آغازین بارگذاری ویندوز اجرا می‌شود و کارکرد آن آلوده کردن سیستم به بدافزارهای مورد نظر حمله کننده است. در واقع autochk.exe فاقد هرگونه کُد مخرب است اما به عنوان Dropper برای بدافزارها عمل می کند.

مجموعه بدافزار LoJax که از چندین کامپوننت مختلف تشکیل شده، از یک درایور سطح هسته سیستم عامل به نام RwDrv استفاده می‌کند که در اصل متعلق به یک برنامه بی خطر به نام RWEverything است. در حقیقت هکرها از درایور سیستمی RWEverything که از امضای دیجیتال معتبر برخوردار است برای دست‌کاری Firmware سیستم‌ها سوء استفاده می‌کنند. اگر ساده تر بخواهیم بگوییم، در این حمله محتوای تراشه حافظه BIOS به طور کامل استخراج می‌شود، پس از تزریق فایل مخرب autochk.exe به آن، مجدداً در تراشه حافظه نوشته می‌شود که حاصل آن ماندگاری بدافزار و اجرای آن با هر بار راه اندازی سیستم است.
به گفته ESET در حال حاضر هیچ راه قطعی دیگری جز فلش زدن یک نسخه دست‌کاری نشده از Firmware مادربرد سیستم وجود ندارد که آن هم در وجود بدافزار می‌تواند مجدداً آلوده شود، از این رو باید سیستم کاربر به یک آنتی ویروس به روز که قادر به تشخیص LoJax است مجهز باشد. خبر خوب اینکه فعال کردن قابلیت Secure Boot از طریق BIOS UEFI مادربرد می‌تواند اغلب مواقع از اجرای autochk.exe جلوگیری کند. قابلیت یاد شده مانع از بارگذاری هر گونه Firmware دستکاری‌شده و فاقد امضای دیجیتال می‌شود.

برخی کامپیوترهای دولتی در کشورهای حوزه بالکان، مرکز و شرق اروپا، جزو قربانیان این بدافزار هستند.