보안 소프트웨어 업체 ESET는 UEFI(Unified Extensible Firmware Interface)의 루트킷인 LoJax를 발견했다고 발표했습니다. 정밀 공격을 하는 사이버 해킹 팀인 Sednit가 주로 사용한 루트킷으로, 이 그룹은 APT28와 STRONTIUM, Sofacy, Fancy Bear 등의 이름으로도 알려져 있습니다.
LoJax는 발칸 반도, 중부/동유럽의 여러 정부 조직에서 최소 한번 이상은 공격에 성공한 바 있습니다. UEFI 루트킷 중에선 세계 최초로 실제 공격이 확인된 것입니다.
LoJax는 악의적인 UEFI 모듈을 시스템의 SPI 플래시 메모리에 기록해, PC의 부팅 과정에서 악성 코드를 스토리지에 주입해 실행합니다. 이러면 운영체제를 재설치하거나 스토리지를 바꿔도 여전히 악성 코드가 남아있으며, UEFI 펌웨어 업데이트를 하지 않는 한 문제가 해결되지 않습니다.
그러나 LoJax는 SPI 플래시 메모리 보호가 취약하거나 잘못 구성된 경우에만 작동합니다. 최신 UEFI를 사용하지 않거나, 취약점이 남아있는 오래된 칩셋에만 영향을 줍니다. 2008년부터 인텔 5 시리즈 PCH 칩셋 정도가 주 공격 대상인듯 합니다.
UEFI 루트킷은 제대로 된 서명이 이루어지지 않았기에 보안 부팅을 사용하면 공격을 막을 수 있습니다.