Home Ciberguerra ESET continúa aportando info sobre el accionar del grupo ruso Fancy Bear

ESET continúa aportando info sobre el accionar del grupo ruso Fancy Bear

Los eggheads de ESET han arrojado más luz sobre el rootkit Unified Extensible Firmware Interface (UEFI) que está siendo utilizado por el equipo de hacking Fancy Bear del Kremlin.

Apodado Lojax, el software malicioso se inserta en el firmware de la placa base de los PC con Windows infectados, lo que le permite ejecutarse tan pronto como la máquina se enciende o se reinicia, lo que le permite espiar idealmente al usuario y eludir la detección por parte del sistema operativo o de cualquier herramienta antivirus. El firmware se ejecuta en los niveles más bajos, debajo de los núcleos y aplicaciones del SO, con acceso total al sistema.

Mientras que ESET delató a Lojax con una revelación en septiembre, la esencia de cómo funciona el malware se retuvo hasta la conferencia anual del Computer Chaos Club a finales de diciembre, donde el investigador Frederic Vachon describió en una presentación cómo el rootkit basado en UEFI es capaz de esconderse en el firmware moderno. ESET pudo conseguir una copia de Lojax cuando una de las computadoras de sus clientes detectó al ciber-sucio.