Descubren un rootkit que instala malware persistente en el firmware UEFI

Investigadores en seguridad de ESET han descubierto la existencia del primer rootkit contra la tecnología UEFI que está siendo usado de forma activa, permitiendo a los atacantes instalar en las computadoras objetivo malware persistente que puede sobrevivir a un formateo de disco y la reinstalación del sistema operativo debido a que se afecta al firmware de las placas base.

Llamado LoJax, el rootkit forma parte de una campaña de malware llevada a cabo por una conocida Amenaza Persistente Avanzada (APT) que ha actuado bajo diversos nombres, entre los que se encuentran Sednit, APT28, Fancy Bear, Strontium y Sofacy. Esta APT ha tenido y tiene como objetivos principales a entidades gubernamentales de estados de los Balcanes, Europa Central y Europa del Este.

Sednit es un grupo patrocinado por un estado, algo que se puede intuir viendo sus objetivos principales, siendo el principal sospechoso el actual Gobierno de Rusia dirigido por Vladimir Putin y formando posiblemente parte de GRU (General Staff Main Intelligence Directorate/Dirección Principal de Personal de Inteligencia General), que básicamente es una agencia de inteligencia secreta y militar de Rusia. Se lo ha vinculado al ataque contra la Convención Nacional Demócrata que se celebró antes de las elecciones celebradas en Estados Unidos en 2016.

Según los investigadores de ESET, LoJax tiene la capacidad de escribir un módulo UEFI malicioso en la memoria flash del sistema SPI, haciendo que el firmware de la BIOS instale y ejecute malware en el proceso de inicio del sistema operativo, el cual, obviamente se encuentra en el almacenamiento de datos (SSD o disco duro). Para ello, utiliza técnicas para abusar de plataformas mal configuradas o saltarse las protecciones contra escritura de la memoria Flash SPI.

Como ya hemos dicho, JoLax reside en el firmware UEFI, así que no puede ser eliminado mediante el formateo del disco duro ni la reinstalación del sistema operativo. Además, esto le proporciona capacidades independientes del sistema operativo utilizado, solo requiriendo de estar correctamente programado para llevar acciones contra uno concreto. Esto quiere decir que no importa si se usa Windows, Linux, FreeBSD o macOS (mediante Hackintosh), si el malware residente en UEFI está programado para atacarlos, lo hará. Esto solo deja una solución, y es volver a flashear el firmware de la placa base para poner uno legítimo que haya sido descargado del sitio web del fabricante de la placa base o del ordenador portátil.

La primera vez que se tuvo constancia de LoJax fue en 2017, siendo una versión troyanizada de un popular software anti-robo de portátiles llamado LoJack, desarrollado por Absolute Software. Los investigadores explican que los hackers han modificado de forma leve el software de LoJack (el legítimo) para conseguir la capacidad de sobrescribir un módulo UEFI y cambiar los procesos en segundo plano que se comunican con los servidores de Absolute Software para hacer que lo hagan con el servidor de mando y control de Sednit. Por otro lado, han explicado que los atacantes han utilizado un componente llamado “ReWriter_binary” para escribir en chips UEFI vulnerables, reemplazando el código del vendedor por uno malicioso.

Este no se trata del primer malware que apunta contra el firmware de los ordenadores con el fin de volverse persistente ante los formateos de la unidad de almacenamiento de datos y la reinstalación del sistema operativo, ya que hace tres años se destapó una vulnerabilidad en los Mac antiguos que abría la puerta a la manipulación del software utilizado por UEFI, además de revelarse técnicas utilizadas por la CIA con el fin de controlar dispositivos Apple mediante el hackeo del firmware. Y es que si placa base está vendida, no hay nada que hacer, ya que las soluciones antimalware no eliminan el malware instalado ahí, dejando como única solución la que ya hemos comentado, el flasheo de la BIOS/UEFI, y eso suponiendo que la placa base no ha acabado dañada.

Como método de defensa, ESET recomienda la activación de la característica Secure Boot, ya que el firmware UEFI del rootkit no está debidamente firmado. Secure Boot se encarga de comprobar de que cada componente cargado por el sistema de firmware esté correctamente firmado con un certificado válido. Sin embargo, la mencionada característica ha recibido fuertes críticas por parte de la comunidad Linux debido a cómo ha sido gestionada por parte de Microsoft y Verising/Symantec. De hecho en la actualidad muchas distribuciones siguen sin soportarla.

Fuente: The Hacker News

LEAVE A REPLY

Please enter your comment!
Please enter your name here