ESET'in güvenlik uzmanları, ilk UEFI rootkit'ini bulduklarını açıkladılar. Araştırmacıların LoJax adını verdiği zararlı, APT28, STRONTIUM, Sofacy ve Fancy Bear adıyla da tanınıyor ve Balkanlar, Orta ve Doğu Avrupa hükümetlerine saldırmayı amaçlıyor.
Güvenlik araştırmacıları, UEFI rootkit'inin kurbanın sistem firmware'ini değiştirecek araçlarla donatıldığını, bu sayede sisteme derinden entegre olduğunu söylüyor. ESET'e göre rootkit, zararlı UEFI modülünü sistemin SPI flaş belleğine yazdıktan sonra ön yükleme esnasında zararlı çalıştırma yeteneğine kavuşuyor.
Araştırmacılara göre zararlı, işletim sistemini baştan yükleseniz, hatta sabit diski değiştirseniz de hayatta kalıyor. Zararlıdan krutulmak için UEFI firmware'ini yeniden yazabiliyorsunuz ancak ESET'in açıklamasına göre bu herkesin kolayca yapabileceği bir iş değil.
ESET, UEFI rootkit'in doğru bir imzaya sahip olmadığını, bu sayede herhangi türde bir saldırının Secure Boot mekanizmasına takılacağını söylüyor. Bu yüzden ESET, firmware'in yüklediği her bileşenin imzasını kontrol eden Secure Boot'u etkinleştirmenizi öneriyor.