RU EN
Системы безопасности должны побеждать каждый раз, а атакующему достаточно и одной победы.
Дастин Дюкс
Консультант по компьютерной безопасности
Арт-группа завербовала программный агент Lojack
03 Май. 2018

Исследователи из Arbor Networks обнаружили в дикой природе экземпляры легитимной программы LoJack, привязанные к C&C-доменам, которыми ранее пользовалась APT-группа Fancy Bear.

Windows-приложение LoJack (официальное название — Computrace) производит компания Absolute Software. Его назначением является защита от утери и кражи портативных устройств, поэтому с помощью LoJack можно отследить местонахождение ноутбука, планшета или смартфона, удаленно заблокировать его или стереть какие-то данные и попытаться вернуть пропажу.

Эта специализированная программа имеет модульную архитектуру, причем ее основной модуль — мини-агент — встраивается в прошивку BIOS. По этой причине LoJack, со слов исследователей, сохраняет свое присутствие даже при смене жесткого диска или образа операционной системы.

Из-за этих и ряда других особенностей данную программу даже пришлось вносить в белые списки антивирусов: защитные решения нередко детектировали ее как вредоносную. Ныне при проверке LoJack обычно получает вердикт not-a-virus или RiskTool.

Все эти особенности весьма привлекательны для киберкриминала, о чем неоднократно предупреждали эксперты. К тому же LoJack имеет свои слабые стороны: в этом проекте используются ненадежные механизмы аутентификации, а проверка целостности содержимого конфигурационного файла отсутствует. К тому же прописанный в коде адрес C&C-сервера зашифрован простейшим однобайтовым ключом XOR, поэтому вшитый URL легко подменить.

Осуществив подмену, злоумышленники смогут управлять LoJack со своего сервера, используя легитимную программу как бэкдор или точку входа в атакуемую сеть. Схемы таких атак были в виде PoC представлены на конференциях Blackhat в 2009 и 2014 годах (экспертами Core Security Technologies и объединенной командой из Core Security и «Лаборатории Касперского» соответственно).

Теперь, с находкой Arbor, атаки с использованием LoJack обрели вид реальной угрозы. Исследователи обнаружили пять образцов модифицированного мини-агента LoJack (без дополнительной функциональности) и четыре домена, три из которых ранее ассоциировались с деятельностью Fancy Bear.

Эта русскоязычная APT-группа, известная также как APT28, Sofacy, Pawn Storm, Sednit и Tsar Team, обычно выбирает в качестве мишеней правительственные структуры, военные и политические организации, высокопоставленных чиновников или представителей СМИ.

Каким образом распространяется «угнанный» LoJack, определить пока не удалось. Fancy Bear зачастую использует с этой целью адресные email-рассылки; исследователи полагают, что в данном случае злоумышленники вполне могут доставлять полезную нагрузку таким же образом.

threatpost.ru

Спасибо за доверие!

Специалист свяжется с Вами в ближайшее время.