Popularne narzędzie do zdalnego czyszczenia / lokalizowania komputerów z … rosyjskim backdoorem

Chodzi o oprogramowanie Lojack – obecność w 144 krajach, odzyskanych przeszło 45 000 skradzionych urządzeń… wygląda na spore i popularne rozwiązanie. Całość służy do zdalnego czyszczenia skradzionego urządzenia (np. laptopa) czy jego lokalizowania.  Produkt jest na tyle zaawansowany, że potrafi przetrwać reinstalację systemu operacyjnego (łatwo to zrobić, prawda?), ale również wymianę całego dysku twardego. Korzysta tutaj garściami z opracowania „backdoor absolutny” z 2014 roku. Do trwałego dostępu wykorzystuje choćby BIOS.

Dla pewności – wszystkie opisane wyżej funkcje są zamierzone i „legalne”, ale wygląda to na świetną bazę dla… wszycia kolejnego backdoora. To właśnie wg. opracowania załogi Arbor’s Security Engineering & Response Team zrealzowała grupa Fancy Bear – wiązana z rosyjskim wywiadem.

Jak był dostarczany backdoor? Tutaj niestety nie ma pewności (czy zwykły phishing czy może kompromitacja jednego z serwerów aktualizacji – tu tylko gdybamy) – ważne jest to, że cała binarka była niezmieniona, a zmieniała się jedynie konfiguracja Lojacka:

according to researchers it blindly trusts the configuration content.  Once an attacker properly modifies this value then the double-agent is ready to go.

W konfiguracji można z kolei było ustawić adres naszego serwera backend, a mając już to możemy dowolnie kontrolować ofiarę:

The attacker simply needs to stand up a rogue C2 server that simulates the Lojack communication protocols. Finally, Lojack’s “small agent” allows for memory reads and writes which grant it remote backdoor functionality when coupled with a rogue C2 server.

Jak wskazano na Rosjan? Przez pokazanie serwerów backend – tych samych, które były użyte w poprzednich „operacjach”, co swoją drogą wydaje się ze strony „Wymyślnych Misiów” pewną nieostrożnością… Operacja z Lojack trwała ponoć aż od okolic 2014 roku…

–ms