Vale sempre il vecchio detto secondo cui
pensare di essere protetti è peggio che non essere protetti affatto. I criminali informatici lo sanno benissimo e per questo ogni tanto qualche azienda di sicurezza segnala che moduli di software assolutamente leciti sono stati
modificati da hacker ostili in modo da comportarsi
come un malware. Solo che, essendo software leciti, non si pensa che possano comportare un pericolo.
Stavolta è toccato a
Lojack di Absolute Software, un tool che diversi produttori di notebook consigliano come strumento per proteggere il proprio computer, tanto da prevederne l'integrazione direttamente con il BIOS dei loro PC. Lojack svolge essenzialmente
tre funzioni in caso di
furto di un notebook: permette bloccarlo da remoto, cancellarne i dati e localizzarlo (in base agli identificatori delle reti WiFi a cui si connette e agli indirizzi IP che gli vengono assegnati).
Il vantaggio di Lojack è che può avere una
stretta integrazione con il BIOS del computer su cui si installa. È una funzione denominata
Absolute Persistence che permette ai suoi moduli software di "sopravvivere" al ripristino delle condizioni di fabbrica del computer, all’installazione di un nuovo sistema operativo e anche alla sostituzione totale del disco.
NetScout però
segnala che alcuni moduli di Lojack sono stati
violati e ridistribuiti con una importante modifica: invece di collegarsi ai server di Absolute Software, dialogano con alcuni server di comando e controllo. A giudicare proprio dai server usati, l'operazione dovrebbe essere stata portata avanti dal gruppo di hacker ostili russi
Fancy Bear. Al momento non sembra che i moduli modificati di Lojack facciano nulla di particolare, averli però installati sul proprio PC significa di fatto
avere una backdoor aperta e potenzialmente pericolosa.
Il punto è che molti anti-malware non identificano i moduli di Lojack come software ostile ma solo, al massimo, come tool pericolosi. Per rilevare quelli modificati da Fancy Bear serve quindi
una signature specifica che NetScout ha già messo a disposizione. Absolut Software è informata dell'accaduto, del quale ovviamente non ha responsabilità.