
Russen achter heimelijk virus
Er is een nieuw en haast onopspoorbaar type malware opgedoken. Volgens beveiligingsspecialisten is dit het werk van een beruchte Russische overheidsorganisatie, die hiermee wil spioneren op Europese organisaties.
Theoretisch was het al aangetoond: ja, het is mogelijk een UEFI-rootkit te ontwikkelen – een computervirus dat zich verstopt in de UEFI-code op de moederkaart van een computer, en daardoor bijzonder moeilijk ...
Theoretisch was het al aangetoond: ja, het is mogelijk een UEFI-rootkit te ontwikkelen – een computervirus dat zich verstopt in de UEFI-code op de moederkaart van een computer, en daardoor bijzonder moeilijk opspoorbaar en verwijderbaar is. Maar voor het eerst is nu zo’n UEFI-rootkit in het echt aangetroffen. Het uiterst venijnige stukje computercode heeft de naam LoJax gekregen.
Het Amerikaanse beveiligingsbedrijf Eset presenteerde donderdag het resultaat van zijn speurwerk tijdens een conferentie van Microsoft. Eset heeft LoJax aangetroffen bij ‘een aantal organisaties’ in de Balkan en Centraal- en Oost-Europa. Noch de organisaties, noch de landen zijn genoemd.
Volgens Eset is LoJax het werk van de beruchte hackergroep Fancy Bear, ook wel APT28 genoemd. Fancy Bear zou deel uitmaken van de Russische militaire inlichtingendienst. De organisatie wordt verdacht van de cyberinbraak op de Democratische Partij in de VS vlak voor de verkiezingen van 2016, maar ook van een lange reeks andere aanvallen waaronder het hacken van de Franse zender TV5.
Dat Fancy Bear achter LoJax zit, zou blijken uit het feit dat het is aangetroffen op computers die ook besmet waren met andere malware, waarvan men al weet of vermoedt dat ze van de Russische groep afkomstig is.
Vrijwel ondetecteerbaar
UEFI of Unified Extensible Firmware Interface is een stukje software dat de communicatie regelt tussen het besturingssysteem van een computer en de hardware (op oudere computers heet dit de BIOS). Het huist in een flash-chip op je moederkaart en dus niet op je harde schijf, en wordt geladen vóór het besturingssysteem – zodat zelfs het volledig wissen van de harde schijf en herinstalleren van het besturingssysteem er niets tegen vermag. Het is uiterst moeilijk om daar een stuk malware in te smokkelen, maar als het lukt is het vrijwel ondetecteerbaar.
Fancy Bear baseerde zijn virus, merkwaardig genoeg, op een legitiem systeem voor antidiefstalbeveiliging, LoJack genaamd. LoJack antidiefstalbeveiliging stuurt een waarschuwing zodra een gestolen computer op het internet wordt aangesloten. De eigenaar van de computer kan de computer en de bestanden erop dan vanop afstand vergrendelen. Die beveiliging is haast onmogelijk te verwijderen. Fancy Bear heeft het programma zo gewijzigd dat het de booswichten toelaat om de controle over computers over te nemen.