По словам издания, созданием вредоносной программы занималась хакерская группа Fancy Bear, якобы связанная с российской разведкой. Новый вирус разработали на основе кода шпионской программы, предложенной в 2015 году другой хакерской группой Hacking Team.
Первые предпосылки этой программы были обнаружены в марте этого года в приложении Absolute LoJack. Оно помогает владельцам ноутбуков определить местоположение похищенного устройства или дистанционно удалить с компьютера конфиденциальную информацию. Хакеры скопировали фоновый процесс этого приложения, который сохраняет контакт с его серверами, и сделали так, чтобы она отправляла информацию на сервер взломщиков.
Новая программа, названная LoJax, переписывает код, хранящийся в компьютерном чипе UEFI, маленьком кремниевом блоке на материнской плате компьютера, отвечающем за контроль загрузки и перезагрузки устройства. Она UEFI является телохранителем для фальшивого агента программы LoJack. При каждой перезагрузке взломанный чип проверяет, что разработанный под оперативную систему Windows вирус находится на жестком диске, и в случае отсутствия переустанавливает его.
