LoJax je tolik zákeřný v tom, že zaviruje počítač v podstatě ještě dříve, než nastartuje operační systém Windows. Zaměřuje se totiž na infiltraci přímo do systému UEFI, tedy do moderní náhrady biosu, která je v podstatě ovládacím softwarem celého počítače.

Právě UEFI určuje, z jakého disku se bude spouštět operační systém a jaké parametry budou na daném stroji při spuštění nastavené. UEFI je nedílnou součástí základní desky a počítači hlásí například to, kolik je připojeno disků, kolik je k dispozici operační paměti apod.

Útočí, než se zapne Windows

A právě v tom je celý zakopaný pes, neboť UEFI se spouští v podstatě už při stisku spouštěcího tlačítka, tedy ještě dříve, než se nastartuje samotný operační systém. Většina běžných antivirových programů je proto bezbranných, neboť dokážou viry kontrolovat až po spuštění Windows, případně jiného operačního systému. A to má již situaci pevně pod kontrolou nezvaný návštěvník a pomocí něj mohou kyberzločinci napadený stroj v podstatě zotročit na dálku.

Je nutné upozornit, že virus útočící na úrovni systému UEFI objevili bezpečnostní experti vůbec poprvé. To je také důvod, proč na něj většina antivirových programů není připravena. Kontrolovat UEFI zpravidla dovedou jen sofistikovanější nástroje, jedním z nich je právě bezpečnostní software od společnosti Eset, kterým byl LoJax zachycen.

„O UEFI rootkitech, tedy hrozbách, se hovořilo zatím jen jako o konceptu. Tento objev ale potvrzuje, že je lze reálně zneužít k útoku,“ řekl Jean-Ian Boutin, bezpečnostní analytik společnosti Eset, který vedl výzkum této hrozby.

Nepomůže ani přeinstalace systému

Pro odstranění tohoto škodlivého kódu nepomůže ani přeinstalace operačního systému. Pokud chceme infikovaný systém UEFI rootkitu zbavit, vyžaduje to znalosti nad rámec běžného i pokročilého uživatele. Například flashnutí firmwaru základní desky. Pokud to není možné, je nutné vyměnit základní desku.

S ohledem na možná bezpečnostní rizika bezpečnostní experti zatím nechtějí zveřejňovat žádné další podrobnosti o této hrozbě. Dodali pouze, že LoJax byl využit k útokům na evropské vládní instituce, logicky ale představuje hrozbu také pro běžné uživatele.