Арт-группа завербовала программный агент Lojack
Исследователи из Arbor Networks обнаружили в дикой природе экземпляры легитимной программы LoJack, привязанные к C&C-доменам, которыми ранее пользовалась APT-группа Fancy Bear.
Windows-приложение LoJack (официальное название — Computrace) производит компания Absolute Software. Его назначением является защита от утери и кражи портативных устройств, поэтому с помощью LoJack можно отследить местонахождение ноутбука, планшета или смартфона, удаленно заблокировать его или стереть какие-то данные и попытаться вернуть пропажу.
Эта специализированная программа имеет модульную архитектуру, причем ее основной модуль — мини-агент — встраивается в прошивку BIOS. По этой причине LoJack, со слов исследователей, сохраняет свое присутствие даже при смене жесткого диска или образа операционной системы.
Из-за этих и ряда других особенностей данную программу даже пришлось вносить в белые списки антивирусов: защитные решения нередко детектировали ее как вредоносную. Ныне при проверке LoJack обычно получает вердикт not-a-virus или RiskTool.
Все эти особенности весьма привлекательны для киберкриминала, о чем неоднократно предупреждали эксперты. К тому же LoJack имеет свои слабые стороны: в этом проекте используются ненадежные механизмы аутентификации, а проверка целостности содержимого конфигурационного файла отсутствует. К тому же прописанный в коде адрес C&C-сервера зашифрован простейшим однобайтовым ключом XOR, поэтому вшитый URL легко подменить.
Осуществив подмену, злоумышленники смогут управлять LoJack со своего сервера, используя легитимную программу как бэкдор или точку входа в атакуемую сеть. Схемы таких атак были в виде PoC представлены на конференциях Blackhat в 2009 и 2014 годах (экспертами Core Security Technologies и объединенной командой из Core Security и «Лаборатории Касперского» соответственно).
Теперь, с находкой Arbor, атаки с использованием LoJack обрели вид реальной угрозы. Исследователи обнаружили пять образцов модифицированного мини-агента LoJack (без дополнительной функциональности) и четыре домена, три из которых ранее ассоциировались с деятельностью Fancy Bear.
Эта русскоязычная APT-группа, известная также как APT28, Sofacy, Pawn Storm, Sednit и Tsar Team, обычно выбирает в качестве мишеней правительственные структуры, военные и политические организации, высокопоставленных чиновников или представителей СМИ.
Каким образом распространяется «угнанный» LoJack, определить пока не удалось. Fancy Bear зачастую использует с этой целью адресные email-рассылки; исследователи полагают, что в данном случае злоумышленники вполне могут доставлять полезную нагрузку таким же образом.