Ecco il primo rootkit per UEFI. Si chiama Lojax e lo usa Fancy Bear

Set 28, 2018 Marco Schiaffino Attacchi, In evidenza, Malware, Minacce, News, RSS, Scenario, Tecnologia 0

Teorizzato da tempo, il rootkit ha fatto la sua comparsa e porta una firma prestigiosa: quella del gruppo che gli USA considerano il pericolo pubblico numero uno.

Per gli esperti di sicurezza, la creazione di un rootkit per UEFI era una sorta di esercizio accademico che ha popolato per mesi le agende di conferenze e incontri. Ora è diventato realtà e ha metterlo a punto sembra sia stato uno dei gruppi hacker più celebri del momento: Fancy Bear.

Conosciuto anche come APT28, il gruppo di cyber-spioni è accusato di aver combinato un po’ di tutto: dagli attacchi al governo tedesco emersi lo scorso marzo alla creazione della botnet VPNFilter che sta togliendo il sonno a un buon numero di esperti.

La creazione di Lojax, quindi, sarebbe la ciliegina sulla torta di una “carriera” che nell’ottica dei pirati informatici si può considerare ormai strepitosa. Ad accendere i riflettori sul rootkit è stata ESET, che ne ha illustrato le caratteristiche nella giornata di ieri in occasione del Microsoft BlueHat 2018.

Il modulo analizzato da ESET verrebbe installato all’interno della SPI flash memory del sistema e consentirebbe, di conseguenza, un livello di persistenza elevatissimo, in grado di “sopravvivere” anche alla reinstallazione del sistema operativo.

Le indagini di ESET dimostrerebbero che Fancy Bear avrebbe usato Lojax per colpire alcuni obiettivi nei Balcani e in centro Europa. Analizzandolo, i ricercatori sono riusciti anche a ricostruirne l’origine.

Il rootkit, stando a quanto appurato da ESET, sarebbe la diretta evoluzione di un progetto passato del gruppo hacker, che aveva “modificato” un software antifurto chiamato LoJack (ne abbiamo parlato in questo articolo) per trasformarlo in un trojan.

Una delle caratteristiche di LoJack era proprio quella di installarsi a livello di BIOS (o di UEFI) e, a quanto pare, i cyber-spioni di APT28 hanno pensato bene di portarne avanti lo sviluppo creando uno strumento di attacco estremamente efficace.

Per installare Lojax, i pirati usano un driver kernel (RwDrv.sys) in grado di patchare UEFI, che viene fornito con uno strumento gratuito chiamato RWEverything.

I passaggi per l’infezione sono tre: il primo prevede la copia delle impostazioni di sistema su un file di testo, il secondo la creazione di un’immagine del firmware installato nella SPI flash memory e la terza l’aggiunta del codice malevolo all’immagine, che nella sua versione modificata viene poi riversata nella memoria.

Nel caso in cui la piattaforma non consenta la scrittura sulla memoria SPI, il malware utilizza un exploit già noto per ottenere l’accesso in scrittura.

A questo punto il rootkit è in una posizione di assoluto vantaggio e può svolgere il compito per cui è programmato: caricare un malware sul sistema operativo e assicurarsi che venga avviato a ogni accensione del computer.

Secondo i ricercatori di ESET, gli strumenti per evitare l’infezione ci sono, anche se nessuno di questi si può considerare “a prova di bomba”.

Uno di questi è Secure Boot, il sistema che verifica i certificati digitali dei driver e dei firmware all’avvio. Lojax è infatti sprovvisto di un certificato digitale (già, ma per quanto?) e verrebbe bloccato.

I ricercatori, in ogni caso, sottolineano che l’unica strategia per mitigare il rischio di attacchi come questo passa da un’accurata configurazione di UEFI, appannaggio di sviluppatori e produttori piuttosto che dei responsabili di sicurezza.

Per fortuna, sembra che gli hacker di Fancy Bear utilizzino Lojax solo per gli attacchi mirati diretti a obiettivi di alto livello ed è improbabile che in futuro si possa assistere ad attacchi “a tappeto” con questa tecnica.

Condividi l'articolo