Aggiornamenti recenti Marzo 18th, 2024 2:00 PM
Set 28, 2018 Marco Schiaffino Attacchi, In evidenza, Malware, Minacce, News, RSS, Scenario, Tecnologia 0
Per gli esperti di sicurezza, la creazione di un rootkit per UEFI era una sorta di esercizio accademico che ha popolato per mesi le agende di conferenze e incontri. Ora è diventato realtà e ha metterlo a punto sembra sia stato uno dei gruppi hacker più celebri del momento: Fancy Bear.
Conosciuto anche come APT28, il gruppo di cyber-spioni è accusato di aver combinato un po’ di tutto: dagli attacchi al governo tedesco emersi lo scorso marzo alla creazione della botnet VPNFilter che sta togliendo il sonno a un buon numero di esperti.
La creazione di Lojax, quindi, sarebbe la ciliegina sulla torta di una “carriera” che nell’ottica dei pirati informatici si può considerare ormai strepitosa. Ad accendere i riflettori sul rootkit è stata ESET, che ne ha illustrato le caratteristiche nella giornata di ieri in occasione del Microsoft BlueHat 2018.
Il modulo analizzato da ESET verrebbe installato all’interno della SPI flash memory del sistema e consentirebbe, di conseguenza, un livello di persistenza elevatissimo, in grado di “sopravvivere” anche alla reinstallazione del sistema operativo.
Le indagini di ESET dimostrerebbero che Fancy Bear avrebbe usato Lojax per colpire alcuni obiettivi nei Balcani e in centro Europa. Analizzandolo, i ricercatori sono riusciti anche a ricostruirne l’origine.
Il rootkit, stando a quanto appurato da ESET, sarebbe la diretta evoluzione di un progetto passato del gruppo hacker, che aveva “modificato” un software antifurto chiamato LoJack (ne abbiamo parlato in questo articolo) per trasformarlo in un trojan.
Una delle caratteristiche di LoJack era proprio quella di installarsi a livello di BIOS (o di UEFI) e, a quanto pare, i cyber-spioni di APT28 hanno pensato bene di portarne avanti lo sviluppo creando uno strumento di attacco estremamente efficace.
Per installare Lojax, i pirati usano un driver kernel (RwDrv.sys) in grado di patchare UEFI, che viene fornito con uno strumento gratuito chiamato RWEverything.
I passaggi per l’infezione sono tre: il primo prevede la copia delle impostazioni di sistema su un file di testo, il secondo la creazione di un’immagine del firmware installato nella SPI flash memory e la terza l’aggiunta del codice malevolo all’immagine, che nella sua versione modificata viene poi riversata nella memoria.
Nel caso in cui la piattaforma non consenta la scrittura sulla memoria SPI, il malware utilizza un exploit già noto per ottenere l’accesso in scrittura.
A questo punto il rootkit è in una posizione di assoluto vantaggio e può svolgere il compito per cui è programmato: caricare un malware sul sistema operativo e assicurarsi che venga avviato a ogni accensione del computer.
Secondo i ricercatori di ESET, gli strumenti per evitare l’infezione ci sono, anche se nessuno di questi si può considerare “a prova di bomba”.
Uno di questi è Secure Boot, il sistema che verifica i certificati digitali dei driver e dei firmware all’avvio. Lojax è infatti sprovvisto di un certificato digitale (già, ma per quanto?) e verrebbe bloccato.
I ricercatori, in ogni caso, sottolineano che l’unica strategia per mitigare il rischio di attacchi come questo passa da un’accurata configurazione di UEFI, appannaggio di sviluppatori e produttori piuttosto che dei responsabili di sicurezza.
Per fortuna, sembra che gli hacker di Fancy Bear utilizzino Lojax solo per gli attacchi mirati diretti a obiettivi di alto livello ed è improbabile che in futuro si possa assistere ad attacchi “a tappeto” con questa tecnica.
Gen 18, 2024 0
Dic 21, 2023 0
Dic 12, 2023 0
Nov 27, 2023 0
Mar 18, 2024 0
Mar 18, 2024 0
Mar 15, 2024 0
Mar 15, 2024 0
Mar 15, 2024 0
Dopo alcuni mesi dalla sua scoperta, Tomer Peled,...Mar 15, 2024 0
Sempre più aziende stanno scegliendo Kubernetes (K8s) per...Mar 13, 2024 0
Negli ultimi anni il ruolo del CISO (Chief Information...Feb 29, 2024 0
Secondo la ricerca “Connecting the future of...Feb 28, 2024 0
Secondo l’ultimo sondaggio di Check Point, fornitore...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mar 18, 2024 0
F.A.C.C.T, agenzia russa di cybersecurity, ha denunciato...Mar 18, 2024 0
Il team di SonicWall Capture Labs ha scoperto di recente...Mar 15, 2024 0
Dopo alcuni mesi dalla sua scoperta, Tomer Peled,...Mar 14, 2024 0
I ricercatori di FortiGuard Labs hanno scoperto una...Mar 14, 2024 0
I ricercatori di SaltSecurity hanno individuato due...