Phát hiện malware cực kỳ nguy hiểm, không thể tiêu diệt dù cài lại hệ điều hành và thay ổ cứng

Một malware cực kỳ nguy hiểm có tên gọi là Lojax vừa mới được hãng bảo mật ESET phát hiện. Malware này đang lây nhiễm vào máy tính nạn nhân những đoạn code độc hại. Theo các chuyên gia bảo mật tại ESET thì có nhiều khả năng Lojax được tạo ra bởi một nhóm hacker nổi tiếng đến từ Nga có tên là Fancy Bea.

Các malware nguy hiểm này nhắm tới phần mềm UEFI - giao diện Unified Extensible Firmware Interface, được dùng để khởi động hệ thống của máy tính. Lojax viết lại UEFI nên chúng có thể tồn tại lâu trong bộ nhớ flash của máy tính, ngay cả khi cài đặt lại hệ điều hành và thay ổ cứng cũng không thể tiêu diệt.

ESET cho biết, nếu muốn loại bỏ malware này thì người dùng sẽ phải viết đè lên bộ nhớ của ổ lưu trữ flash, và đây chắc chắc là hành động không dành cho người dùng phổ thông.

Các nhà bảo mật đã phát hiện ra các thành phần khác nhau của malware Lojax trên những máy tính thuộc các tổ chức chính phủ ở các quốc gia vùng Trung và Đông Âu, vùng Balkan.

Theo ESET, trước đây loại hình tấn công rootkit nhắm mục tiêu đến UEFI chỉ được xem như một dạng tấn công trong lý thuyết. Và đây là lần đầu tiên rootkit UEFI này xuất hiện trong thế giới thực.

Nhóm hacker Fancy Bea còn được biết đến dưới cái tên Sednit bởi đã thực hiện một loạt các cuộc tấn công vào các nhóm chính phủ. Trong đó có cả vụ rò rỉ thông tin trong mạng máy tính của Ủy ban Dân chủ Quốc gia trong chiến dịch tranh cử tổng thống Mỹ năm 2016.

ESET cho biết, phương thức hoạt động của Lojax bắt chước một sản phẩm bảo vệ hệ thống chống trộm cắp cũng rất khó có thể loại bỏ khỏi máy tính PC có tên là Lojack. Nhóm hacker đã vũ khí hóa Lojack để giúp họ tấn công các máy tính và vượt qua các phần mềm bảo mật.

Hiện, các nhà bảo mật vẫn chưa biết được cách thức Fancy Bear đưa malware này vào máy tính nạn nhân. Nhưng có thể Lojax được sử dụng để tải xuống các module phần mềm độc hại khác vào máy tính bị lây nhiễm.

Có thể Fancy Bear đã phát triển từng phần của Lojax dựa trên các câu lệnh và máy chủ điều khiển giao tiếp với malware. Trước đây, các tên miền dành cho những máy chủ này cũng đã từng được sử dụng để lưu trữ các công cụ hack khác do Fancy Bear phát triển.

Rất may là cuộc tấn công Lojax này hoàn toàn có thể chặn được thông qua một tính năng tiêu chuẩn thường được kích hoạt mặc định của PC, có tên Secure Boot. Tất cả các phần trong máy tính PC, bao gồm cả firmware sẽ được Secure Boot kiểm tra để xem chúng có được xác thực với mã hợp lệ do nhà sản xuất ký chứng nhận hay không. Bài kiểm tra này có thể chặn được Malware Lojax.

Để bật hoặc tắt tính năng này, bạn có thể khởi động lại máy tính và truy cập vào phần BIOS.

Ngoài ra, các chuyên gia bảo mật tại ESET cũng khuyên người dùng PC nên liên tục cập nhật firmware cho bản mạch chủ của máy để ngăn chặn hacker khai thác các lỗ hổng.

Xem thêm:

• 5 điều phải làm để tránh malware
• Các nhà nghiên cứu tạo ra malware dựa trên trí tuệ nhân tạo
• Cảnh báo, chiến dịch botnet có tên GhostDNS đang chiếm quyền kiểm soát hơn 100000 router