En no pocos casos, las amenazas de seguridad nunca salen de los laboratorios de las empresas de seguridad. Una cosa es descubrir una vulnerabilidad, y otra es conseguir que se pueda usar en la vida real. Es lo que pasaba con las amenazas de seguridad para las BIOS UEFI. Aunque ahora ESET acaba de descubrir una amenaza de tipo rootkit para UEFI fuera de los laboratorios.
Si se infecta el firmware de un equipo y se carga el sistema operativo, se consigue un nivel de persistencia mayor que si el virus se carga en el sistema operativo. Además, la única manera de eliminar la amenaza es flashear el sistema, lo cual ni siempre es fácil para usuarios de a pie. El grupo Sednit, conocidos como Fancy Bear, Strontium, Sofacy y de otras maneras, ha encontrado una forma de modificar los contenidos de la memoria flash donde se almacena la UEFI.
En vez de instalarse en el disco duro, se encontraron componentes del malware LoJas en el firmware desde el que se carga el sistema operativo. Formatear el disco no ayuda a eliminar la amenaza. Es posible escanear la UEFI en busca de amenazas, pero no suele hacerse. Y lo único que queda es flashear la BIOS con una copia limpia. Este grupo de hackers lleva activo desde 2004 al menos.
Como parte de este malware LoJax, un controlador para el kernel se usa para conseguir acceso a los ajustes de la UEFI. El controlador lleva un componente de software llamado RWEverything, una aplicación legítima para leer información de bajo nivel del sistema. Después se extrae una copia de la memoria donde está la UEFI, se injecta el código y se devuelve a la memoria flash. El propósito de este rootkit es insertar malware en el sistema en el momento de arranque y ejecutarlo al inicio. No todos los equipos son vulnerables, eso sí. Depende del chipset. Los usuarios de a pie no tendrán demasiado por lo que preocuparse, pero los gobiernos y empresas con equipo antiguos son vulnerables.
.jpg)
