Специалисты ASERT (Arbor Security Engineering & Response Team) сумели обнаружить множество серверов и доменных имен, входивших в инфраструктуру малвари LoJax, что позволило изучить работу операторов малвари подробнее.
Напомню, что впервые LoJax заметили аналитики компании Arbor Networks в мае 2018 года. LoJax — это «близнец» легитимного решения LoJack от компании Absolute Software, созданного для защиты устройств от утери и кражи. Инструмент встраивается в UEFI и позволяет, к примеру, отслеживать местонахождение устройства или удаленно стереть данные.
Осенью 2018 года эксперты ESET рассказали о том, что LoJax используется известной группой российских правительственных хакеров APT28 (она же Sednit, Fancy Bear, Strontium, Sofacy и так далее). Тогда LoJax применялся для внедрения на целевые машины первого известного руткита для Unified Extensible Firmware Interface (UEFI).
Теперь исследователи ASERT обнародовали новые подробности об инфраструктуре LoJax, согласно которым, малварь активна как минимум с 2016 года. Кроме того, судя по масштабам инфраструктуры, угроза вовсе не была новым инструментом, использованным лишь для нескольких целевых атак.
Специалисты сопоставили свои данные с индикаторами компрометации, опубликованными британским Национальным центром кибербезопасности (NCSC) для малвари Fancy bear в октябре прошлого года, и нашли множество совпадений.
Обнаруженные ASERT домены | Данные NCSC |
Неизвестно | 185.86.148[.]184 |
moldstream[.]md | 185.181.102[.]201 |
visualrates[.]com | 169.239.129[.]121 |
regvirt[.]com | 46.21.147[.]71 |
ntpstatistics[.]com | 169.239.128[.]133 |
oiatribe[.]com | 162.208.10[.]66 |
msfontserver[.]com | 179.43.158[.]20 |
treckanalytics[.]com | 94.177.12[.]150 |
unigymboom[.]com | 185.86.151[.]2 |
sysanalyticweb[.]com | 54.37.104[.]106 |
remotepx[.]net | 85.204.124[.]77 |
vsnet[.]co | 46.21.147[.]76 |
hp-apps[.]com | 185.86.149[.]116 |
jflynci[.]com | 185.86.151[.]104 |
peacefund[.]eu | 185.183.107[.]40 |
elaxo[.]org | 86.106.131[.]54 |
oiagives[.]com | 162.208.10[.]66 |
Неизвестно | 93.113.131[.]103 |
webstp[.]com | 185.94.191[.]65 |
Также исследователи обнаружили, что придание LoJax огласке, похоже, не слишком помешало операциям Fancy Bear, так как два управляющих сервера малвари доступы до сих пор: 185.86.151[.]2 (unigymboom[.]com) и 169.239.128[.]133 (ntpstatistics[.]com).
Изучив историю регистрации найденных доменов, специалисты заметили, что некоторые из них были зарегистрированные еще в «нулевых». Впрочем, это, конечно, не означает, что хакеры использовали их все это время.