Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
Set 28, 2018 Marco Schiaffino Attacchi, In evidenza, Malware, Minacce, News, RSS, Scenario, Tecnologia 0
Per gli esperti di sicurezza, la creazione di un rootkit per UEFI era una sorta di esercizio accademico che ha popolato per mesi le agende di conferenze e incontri. Ora è diventato realtà e ha metterlo a punto sembra sia stato uno dei gruppi hacker più celebri del momento: Fancy Bear.
Conosciuto anche come APT28, il gruppo di cyber-spioni è accusato di aver combinato un po’ di tutto: dagli attacchi al governo tedesco emersi lo scorso marzo alla creazione della botnet VPNFilter che sta togliendo il sonno a un buon numero di esperti.
La creazione di Lojax, quindi, sarebbe la ciliegina sulla torta di una “carriera” che nell’ottica dei pirati informatici si può considerare ormai strepitosa. Ad accendere i riflettori sul rootkit è stata ESET, che ne ha illustrato le caratteristiche nella giornata di ieri in occasione del Microsoft BlueHat 2018.
Il modulo analizzato da ESET verrebbe installato all’interno della SPI flash memory del sistema e consentirebbe, di conseguenza, un livello di persistenza elevatissimo, in grado di “sopravvivere” anche alla reinstallazione del sistema operativo.
Le indagini di ESET dimostrerebbero che Fancy Bear avrebbe usato Lojax per colpire alcuni obiettivi nei Balcani e in centro Europa. Analizzandolo, i ricercatori sono riusciti anche a ricostruirne l’origine.
Il rootkit, stando a quanto appurato da ESET, sarebbe la diretta evoluzione di un progetto passato del gruppo hacker, che aveva “modificato” un software antifurto chiamato LoJack (ne abbiamo parlato in questo articolo) per trasformarlo in un trojan.
Una delle caratteristiche di LoJack era proprio quella di installarsi a livello di BIOS (o di UEFI) e, a quanto pare, i cyber-spioni di APT28 hanno pensato bene di portarne avanti lo sviluppo creando uno strumento di attacco estremamente efficace.
Per installare Lojax, i pirati usano un driver kernel (RwDrv.sys) in grado di patchare UEFI, che viene fornito con uno strumento gratuito chiamato RWEverything.
I passaggi per l’infezione sono tre: il primo prevede la copia delle impostazioni di sistema su un file di testo, il secondo la creazione di un’immagine del firmware installato nella SPI flash memory e la terza l’aggiunta del codice malevolo all’immagine, che nella sua versione modificata viene poi riversata nella memoria.
Nel caso in cui la piattaforma non consenta la scrittura sulla memoria SPI, il malware utilizza un exploit già noto per ottenere l’accesso in scrittura.
A questo punto il rootkit è in una posizione di assoluto vantaggio e può svolgere il compito per cui è programmato: caricare un malware sul sistema operativo e assicurarsi che venga avviato a ogni accensione del computer.
Secondo i ricercatori di ESET, gli strumenti per evitare l’infezione ci sono, anche se nessuno di questi si può considerare “a prova di bomba”.
Uno di questi è Secure Boot, il sistema che verifica i certificati digitali dei driver e dei firmware all’avvio. Lojax è infatti sprovvisto di un certificato digitale (già, ma per quanto?) e verrebbe bloccato.
I ricercatori, in ogni caso, sottolineano che l’unica strategia per mitigare il rischio di attacchi come questo passa da un’accurata configurazione di UEFI, appannaggio di sviluppatori e produttori piuttosto che dei responsabili di sicurezza.
Per fortuna, sembra che gli hacker di Fancy Bear utilizzino Lojax solo per gli attacchi mirati diretti a obiettivi di alto livello ed è improbabile che in futuro si possa assistere ad attacchi “a tappeto” con questa tecnica.
Ott 08, 2024 0
Ott 01, 2024 0
Set 10, 2024 0
Mag 06, 2024 0
Nov 22, 2024 0
Nov 21, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...