Sicherheitsexperten der ESET-Gruppe haben ein erstes UEFI-Rootkit in der Praxis gefunden.
Die Experten rechnen das Rootkit Hackern zu, die unter dem Namen Sednit oder APT28, Sofacy, Strontium beziehungsweise Fancy Bear seit 2004 operieren. Sie sollen hinter mehreren spektakulären Angriffen der letzten Jahre stehen, darunter hinter dem Einbruch beim Democratic National Committee (DNC) vor den US-Wahlen 2016. Außerdem sollen sie das globale TV-Netzwerk TV5Monde gehackt haben und für den E-Mail-Leak bei der Welt-Anti-Dopingagentur (WADA) verantwortlich sein.
Nun wurden trojanisierte Agenten einer älteren Anti-Dienstahlsoftware names Lojack gefunden, die UEFI-Bios-Module als Persistenzmechanismus nutzen und Sednit zugeschrieben werden können. Das ist der erste Fall in der Praxis außerhalb der akademischen Diskussion und von Machbarkeitsstudien. Weil sich das Rootkit dabei in die Firmware des Opfers kopiert, überlebt es nicht nur einen Reboot, sondern unter Umständen sogar eine Neuinstallation des Betriebssystes oder einen kompletten Festplattenaustausch.
