Säkerhetsprogram utnyttjas av ryska hackergruppen Fancy Bear

Riktad attack mot ett litet antal datorer

Säkerhetsprogrammet LoJack for Laptops används av ryska hackargruppen Fancy Bear i en riktad attack mot ett litet antal datorer. Spionprogrammet används normalt för att spåra och låsa stulna datorer, men säkerhetsföretaget Arbor noterar att även hackare utnyttjar det till egna ändamål.


Enligt en rapport från Arbor har minst fem LoJack for Laptops-klienter som modifierats av Fancy Bear identifierats som skadliga. De kan kommunicera med servrar som hackargruppen tidigare använt och ska man tro Arbor kan ryska underrättelsetjänsten GRU vara involverad också.

Sannolikt handlar det om en riktad attack mot specifika mål. Exakt vilka det är avslöjar inte rapporten, men Hardik Modi som är chef för Arbors forskarlag Asert, bekräftar att de samarbetar med flera parter kring händelsen.

Bland annat utvecklaren Absolute Software som är företaget bakom LoJack for Laptops. Företaget bekräftar att Arbors kontaktat dem om sina upptäckter och att händelsen nu utreds internt. I ett meddelande till The Register säger en talesperson att deras kunder och partner sannolikt inte har påverkats.

Det är extra allvarligt att det är ett säkerhetsprogram av det här slaget som modifierats. Spionprogram är gjorda för att vara svåra att bli av med och andra säkerhetsprogram registrerar dem ofta som säkra.

Urdålig säkerhet i LoJack for Laptops

Anledningen till att LoJack for Laptops kan användas av hackarna är att programmets egna säkerhet är dålig. Redan 2014 presenterades information om sårbarheter i programmet under Black Hat-konferensen.

LoJack-agenten skyddar den hårdkodade URL:en (för att kommendera och kontrollera programmet på avstånd) med en enda byte (XOR). Enligt säkerhetsforskare litar programmet blint på att konfigurationen är korrekt. Om URL:en ändras tror LoJack att den är korrekt och hackare kan använda egna kontroll-servrar för att styra agenten.

Säkerhetsforskarna Vitaliy Kamlyuk, Sergey Belov och Anibal Sacco sade under konferensen att det var enkelt att ändra den register-konfiguration som innehåller adressen till kontroll-servern.

Det är oklart varför Absolute Software inte har täppt till sårbarheten som gör LoJack for Laptops så enkel att hacka och utnyttja. Det återstår att se vad deras interna utredning leder till och om den ryska hackergruppen kan fortsätta utnyttja programmet efter att det blivit känt.

Källa The Register