Az ESET által LoJax néven azonosított rootkit az orosz Sednit csoport egyik közép- és kelet-európai kiemelt politikai célpontokat támadó akciójában tűnt fel, ez volt a kártevő eddigi legelső ismert felbukkanása.

Az UEFI rootkitek rendkívül veszélyes és félelmetes eszközök egy kibertámadás elindításához. Kulcsként szolgálnak a számítógéphez való hozzáféréshez, nehéz felfedezni őket és képesek túlélni az olyan kiberbiztonsági intézkedéseket, mint az operációs rendszer újratelepítése vagy akár a merevlemez cseréje. Ráadásul egy olyan rendszer tisztítása, amelyet UEFI rootkit fertőzött meg, igen komoly szakértelmet követel, amely messze túlmutat egy átlagos felhasználó tudásán.

Veterán hackercsoport fejlesztette

A Sednit, vagy más néven APT28, STRONTIUM, Sofacy vagy Fancy Bear az egyik legaktívabb APT (Advanced Persistent Threat) fenyegetéseket fejlesztő csoport, amelyről azt tudjuk, hogy legalább 2004 óta készítenek különféle fejlett, hosszú ideig rejtőzni képes támadásokat. Állítólag a 2016-os amerikai választások során a demokrata országos választmány elleni támadás, valamint a TV5Monde hálózatának feltörése, illetve a Nemzetközi Doppingellenes Ügynökség e-maileinek kiszivárgása is az említett Sednit csoporthoz köthető akció.

A csoport pályafutása során rosszindulatú programok egész arzenálját fejlesztette ki, ezeket a különféle rosszindulatú kódokat számos esetben leplezték már le és dokumentáltak az ESET kutatói, illetve több alkalommal a WeLiveSecurity blog bejegyzései is átfogóan foglalkoztak már ezzel a témával.

Az első, élesben használt UEFI rootkit felfedezése komoly figyelmeztetés  lehet a felhasználóknak és az olyan szervezetek számára, akik eddig gyakran figyelmen kívül hagyták a firmware-módosításokkal kapcsolatos lehetséges kockázatokat.