Investigadores descubren peligroso rootkit a nivel de firmware



Los rootkits basados ​​en firmware, aunque aún son relativamente raros, están ganando popularidad porque brindan a los actores de amenazas una forma de mantener una presencia persistente, difícil de detectar y difícil de erradicar en una purple de destino.

Los investigadores de Kaspersky descubrieron recientemente el último ejemplo de una amenaza de este tipo oculta en lo profundo del firmware de la Interfaz de firmware extensible unificada (UEFI) de una computadora en la ubicación de un cliente. El implante malicioso, denominado «MoonBounce», se plantó en el firmware UEFI dentro del almacenamiento flash SPI en la placa base de la computadora infectada, en lugar de en el disco duro como otros bootkits UEFI. Esto significaba que el implante podría persistir en el sistema incluso si el disco duro hubiera sido formateado o reemplazado, según Kaspersky.

El implante fue diseñado para permitir la implementación de malware adicional en el sistema comprometido. Otros artefactos de malware en el mismo sistema apuntaban a que MoonBounce se usaba como parte de una campaña de ciberespionaje más amplia que los investigadores de Kaspersky pudieron atribuir con un alto nivel de confianza a APT41, un conocido grupo de amenazas persistentes avanzadas (APT) de habla china. Kaspersky descubierto la amenaza a fines de 2021 y lo informó en privado a los clientes de su servicio APT.

«Hemos optado por revelar esto públicamente poco después, ya que creemos que es valioso compartir este conocimiento con la comunidad», dice Mark Lechtik, investigador principal de seguridad del equipo de investigación y análisis world wide de Kaspersky (Good). El objetivo es permitir a los defensores «comprender cómo han evolucionado los ataques de firmware UEFI y [to] permitir que los equipos azules se defiendan mejor contra este tipo de amenazas».

Las computadoras modernas usan firmware UEFI durante el proceso de arranque. La interfaz contiene información que la computadora united states para cargar el sistema operativo, lo que significa que cualquier código malicioso se ejecutaría antes de que se inicie el sistema operativo. Este hecho ha hecho que el firmware UEFI sea un objetivo cada vez más well-known para los atacantes que buscan ocultar los implantes de las herramientas de detección de malware y mantener la persistencia a largo plazo en los sistemas infectados.

El proveedor de seguridad ESET descubrió el primer rootkit a nivel de firmware, denominado LoJax, en 2018. Este malware, como MoonBounce, estaba oculto en el firmware UEFI en SPI flash. Se descubrió en un sistema perteneciente a una organización que el grupo Sednit, actor de APT con sede en Rusia, había atacado como parte de una campaña contra organizaciones gubernamentales en Europa del Este y otras regiones.

Desde entonces, los investigadores de seguridad han encontrado un puñado de rootkits similares en la naturaleza. MoonBounce es la tercera instancia conocida públicamente de un implante de firmware malicioso en flash SPI. Los otros dos son LoJax y MosaicRegressor, que Kaspersky descubrió en 2020 y se utilizó en una campaña dirigida a organizaciones diplomáticas y no gubernamentales en Asia, Europa y África.

Además de los rootkits basados ​​en firmware en SPI flash, los investigadores han descubierto malware en componentes UEFI en la llamada partición del sistema EFI (ESP), que generalmente se encuentra en el disco duro de una computadora. Ejemplos de este tipo de rootkit incluyen FinSpy, una herramienta de vigilancia altamente ofuscada que Kaspersky informó en septiembre pasado, y ESPectre, otro implante UEFI en el ESP de una computadora que ESET reportado en octubre.

Según Kaspersky, los implantes en el firmware UEFI en el SPI están mejor ocultos que los rootkits basados ​​en firmware en el disco duro. También son más difíciles de eliminar en comparación con los rootkits de nivel ESP, que generalmente se pueden borrar reformateando el disco duro.

MoonBounce es más sofisticado que LoJax y MosaicRegressor debido a la naturaleza muy sutil de los cambios de nivel binario que realiza en un componente UEFI benigno, dice Lechtik. Los cambios introducen lógica para cargar malware durante el inicio del sistema, al tiempo que conservan intacta la secuencia de arranque.

«Más notablemente, realiza cambios en los componentes de la secuencia de arranque solo en la memoria, a través de los cuales permite que el código malicioso se propague al sistema operativo», dice Lechtik. Esto significa que no deja rastros en el disco, lo que hace que los ataques sean mucho más sigilosos que sus predecesores.

Lechtik dice que para manipular la UEFI, los actores de APT41 habrían necesitado una buena comprensión de la secuencia de arranque de UEFI y la implementación específica del proveedor del firmware que atacaron. Además, la plataforma de hardware subyacente debía haber permitido escribir en el firmware, algo que puede suceder si hay vulnerabilidades en el firmware.

«En nuestro caso, los atacantes cumplían ambos requisitos previos», dice Lechtik. «En unique, tenían un conocimiento profundo del firmware objetivo en distinct, lo que sugiere que tenían acceso continuo a la máquina comprometida».

Abordar la amenaza
La creciente amenaza de los ataques a nivel de firmware (el 83 % de las organizaciones en una encuesta de 2021 dijeron que habían sido golpeadas por uno) ha empujado a los fabricantes de chips y a los proveedores de hardware y sistemas operativos a introducir cambios para fortalecer sus tecnologías contra la amenaza. Arranque seguro es un ejemplo. La tecnología está diseñada para garantizar que una computadora se inicie utilizando solo piezas de software de arranque confiables y firmadas. Otros ejemplos incluyen Intel Protector de arranque para defenderse contra la amenaza de atacantes que realizan modificaciones no autorizadas en el software package de nivel de arranque y Modulo de plataforma confiable (TPM), una tecnología de más de 10 años para garantizar la integridad del sistema durante el arranque.

Lechtek dice que con MoonBounce, un mecanismo como Protected Boot sería inútil.

«El arranque seguro clásico no tiene en cuenta los componentes de nivel de firmware al autenticar los componentes en la secuencia de arranque», dice. «MoonBounce en sí mismo no hace nada para eludir este mecanismo. Simplemente no introduce ningún cambio en las imágenes inspeccionadas por Protected Boot, sino que parchea el reflejo de estas imágenes en la memoria después de que se cargan».

Sin embargo, Boot Guard y TPM habrían contrarrestado con éxito las modificaciones de nivel de firmware de MoonBounce, dice Lechtik.



Enlace a la noticia initial