首个已知 UEFI Rootkit 与 Sednit APT 有关联

研究人员报告首个已知的 UEFI Rootkit 与俄罗斯网络间谍组织 Sednit APT（aka Sofacy、Fancy Bear 和 APT28)）有关联。安全公司 ESET 的恶意程序研究员 Frederic Vachon 在上周举行的 35C3 会议上谈论了这一发现(PDF)。此类的恶意程序具有持久性和隐身性，能在主板刷 BIOS 后继续留在系统里。研究人员称，UEFI Rootkit 过去几年热烈讨论过和研究过，但真正用于实际攻击的案例不多。该 Rootkit 被称为 LoJax，它的底层代码使用了修改版的 Absolute Software 恢复软件 LoJack。合法的 LoJack 软件藏身于 UEFI 内，旨在帮助失窃笔记本电脑的受害者访问他们被盗的设备，让受害者有机会重新找回电脑。