Az ESET biztonsági cég szakértői egy olyan malware-t fedeztek fel, mely a Windowst futtató számítógépeket fertőzi meg, és akkor is működőképes marad, ha az operációs rendszert újratelepítik. A szakértők szerint az orosz állami támogatással működő hackercsoport, a Fancy Bear terjeszti a Lojaxnak elnevezett vírust.
A leírás szerint a támadás a számítógépek bootolást végrehajtó UEFI (Unified Extensible Firmware Interface) rendszerén keresztül zajlik, vagyis ha újratelepítik a Windowst, vagy esetleg még ki is cserélik a merevlemezt, a kártékony kód megmaradhat a flash memóriában, ahonnan újratelepítheti magát. Ez azért különös veszélyes – írják –, mert a memória felülírása nem egy bevett és szokásos művelet, az átlagfelhasználó szinte biztosan nem teszi ezt meg, így az újratelepítéssel nem tud megszabadulni a vírustól.
A kutatók nem nevezték meg azokat, akik a támadás áldozatául estek, de annyit közöltek, hogy a Lojax különféle elemeit, változatait a Balkánon és más közép- és kelet-európai országok kormányzati szervezeteinek gépein is felfedezték.
A szakemberek állítása szerint a Lojax az első UEFI-alapú rootkit, melyet azonosítottak a világon – ennek elméleti lehetősége már korábban is felmerült a szakmában, de ez az első bizonyíték a létezésükre. Megjegyzik azt is, hogy a malware-t egy legális szoftver, a lopásgátló LoJack mintájára, annak imitálásaként írták meg – e védelmi szoftvernél fontos elvárás, hogy az ellopott gépen az újratelepítés után is megmaradjon, ezért implementálják az UEFI/BIOS modulba, és a vírusvédelmi cégek is feltételes privilégiumot adnak a LoJack futtatására.
