Destino descubierto de rootkit de firmware raro …



El segundo avistamiento de un exploit de firmware en estado salvaje es un sombrío recordatorio de los peligros de estos ataques, en su mayoría invisibles.

Es una amenaza silenciosa y mortal temida durante mucho tiempo por los expertos en seguridad: malware arraigado en el firmware de los chips informáticos modernos que no se pueden eliminar reinstalando el sistema operativo o incluso limpiando o reemplazando el disco duro.

Estos ataques de rootkit de firmware, en su mayoría invisibles, también conocidos como bootkit, hasta ahora han sido muy raros, pero los investigadores de Kaspersky han descubierto uno en la naturaleza. El rootkit personalizado comprometió la Interfaz de firmware extensible unificada (UEFI) en los chips de computadora que manejan el arranque del sistema y la carga del sistema operativo. El implante de malware, que period solo un módulo encontrado en un marco de ataque más grande de Kaspersky llamado MosaicRegressor, parece estar escrito por un actor de habla china, basado en varios artefactos y pistas de lenguaje que contiene, dicen los investigadores.

Los atacantes señalaron a MosaicRegressor a organizaciones diplomáticas y no gubernamentales africanas, asiáticas y europeas entre 2017 y 2019. Se encontraron dos víctimas con la infección de bootkit UEFI. Todos los objetivos tenían algún vínculo con los intereses de Corea del Norte, ya sea como organizaciones sin fines de lucro enfocadas en el país o con ubicaciones allí.

Este es solo el segundo caso conocido de un ataque de bootkit: el primero, revelado hace dos años por ESET, fue utilizado por el grupo de piratería estatal ruso Fancy Bear, también conocido como Sednit / Sofacy / APT28, mejor conocido por su ataque de 2016 contra el Comité Nacional Demócrata. El llamado malware LoJax básicamente imitaba al de Complete Application LoJack program antirrobo de computadora integrado en muchas máquinas, aprovechando las fallas en el BIOS de las máquinas víctimas y luego colocando el package de arranque en ellas.

«Ese fue realmente un hallazgo significativo», dijo Mark Lechtik, investigador de seguridad senior de Kaspersky, quien junto con su colega Igor Kuznetsov detalló su investigación en el evento digital de Kaspersky (protegido por correo electrónico) esta semana. Lo que distingue a este segundo rootkit UEFI del anterior, dijo Lechtik, es que es una versión personalizada de uno desarrollado por HackingTeam, la controvertida empresa de desarrollo de exploits de día cero de Italia conocida por vender módulos de ataque avanzados a los gobiernos.

El propio HackingTeam fue pirateado y modificado hace cinco años, y gran parte de su código, incluido el de un rootkit UEFI, ahora se encuentra en GitHub para que los investigadores y atacantes experimenten con él.

«En realidad, no había evidencia de uso (del rootkit de HackingTeam) en la naturaleza» hasta ahora, dijo Lechtik.

Period solo cuestión de tiempo que un grupo de amenazas avanzado empleara la herramienta UEFI bootkit de HackingTeam. Jesse Michael, investigador principal de seguridad de Eclypsium, dice que ha construido versiones de prueba de concepto del código en su propia investigación para probar y estudiar cómo podría convertirse en un arma.

Los bootkits tienen que ver con el tiempo de permanencia de un atacante, dice, aunque aún no se han utilizado ampliamente hasta la fecha. Este malware encontrado por Kaspersky se basa en «un código bastante easy», dice, y tiene mucho espacio para mejorar. «Hay muchas cosas que puede hacer para aprovechar» el package de arranque UEFI, dice. «Esto solo rasca la superficie».

Los investigadores de Kaspersky dicen que no pudieron determinar cómo los atacantes pudieron instalar el kit de arranque en las máquinas víctimas y reescribir el firmware UEFI legítimo. Señalan dos escenarios posibles: acceso físico a la máquina víctima identical a la herramienta de llave USB de Hacking Staff. «Un USB de este tipo contendría una utilidad de actualización especial que se puede generar con un constructor designado proporcionado por la empresa. Encontramos una utilidad de actualización Q-flash en nuestro firmware inspeccionado, que también podría haberse utilizado para tal propósito», dijeron escribió en una publicación de blog.

Otra opción es a través de un «parche» instalado de forma remota del firmware con el código malicioso. Eso implicaría atacar el proceso de autenticación de actualización de BIOS para lograrlo.

El trabajo principal del bootkit es implementar malware en un directorio de archivos específico, dijo Lechtik. «Entonces, cuando se inicie el sistema operativo, se ejecutará este archivo de malware».

Los atacantes también parecían haber utilizado la puerta trasera de Winnti, una herramienta preferred entre los grupos estatales chinos. Kuznetsov dijo que él y el equipo pudieron obtener uno de los archivos DLL, que resultó ser una herramienta de robo de información que había archivado el contenido de la carpeta de documentos a la que se accedió recientemente. «Sugirió que toda la campaña estaba relacionada con actividades de espionaje. Pero no tenemos pruebas para tener pistas sobre cuál es realmente la información objetivo», dijo. MosaicRegressor no tiene vínculos conocidos con ningún otro grupo de amenazas que Kaspersky rastree.

Luchando contra el enemigo invisible
Ni siquiera es fácil rastrear este tipo de ataques porque hay poca visibilidad de ellos, dicen los investigadores. Entonces, ¿cómo se protege contra un ataque de bootkit?

Cifrar el disco duro en sí es una forma de defenderse de un ataque de este tipo, utilizando BitLocker de Microsoft, por ejemplo, dice Kaspersky. También existe Safe Boot, una función appropriate con la mayoría de las computadoras modernas que permite que solo el firmware y el application firmados de forma segura se inicien y se ejecuten en una máquina. Intel ofrece en sus microprocesadores Intel Boot Guard basado en Secure Boot, que protege el firmware UEFI de la manipulación y el malware.

«Pero si la placa base está mal configurada y las protecciones no están en su lugar, si Boot Guard no está activado, existen grandes problemas para cualquier plataforma» que sea objetivo, dijo Kuznetsov.

Michael dice que le preocupa que la capacidad de bootkit finalmente se implemente en ataques aún más sofisticados. Por ejemplo, un atacante podría observar y esperar a que se desbloquee un sistema protegido por BitLocker y luego «parchear» el sistema con malware de bootkit.

Kelly Jackson Higgins es la editora ejecutiva de Darkish Examining. Es una periodista veterana de tecnología y negocios galardonada con más de dos décadas de experiencia en la elaboración de informes y la edición de varias publicaciones, entre las que se incluyen Network Computing, Secure Business … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic