APT28 usa LoJax el primer Rootkit UEFI en estado salvaje
Investigadores de seguridad que rastrean las operaciones de un grupo de ciberespionaje encontraron la primera evidencia de un rootkit para la Interfaz de firmware extensible unificado (UEFI) que se usa en la naturaleza.
El actor de amenazas, conocido en la comunidad infosec por los nombres Sednit, Fancy Bear, APT28, Strontium y Sofacy, pudo escribir un componente malicioso en el firmware UEFI de una máquina.
Según ESET, el actor de amenazas incrustó el rootkit en el módulo flash SPI de una computadora de destino, lo que le da persistencia no solo contra la reinstalación del sistema operativo, sino también cuando se reemplaza el disco duro.
Los investigadores nombraron el rootkit LoJax, después de las muestras maliciosas del software antirrobo LoJack que se descubrieron a principios de este año. Esa operación de secuestro del software legítimo también fue obra de ATP28.
"En los sistemas que fueron atacados por la campaña LoJax, encontramos varias herramientas que pueden acceder y aplicar un parche a la configuración UEFI/BIOS", dice ESET en un informe.
Los investigadores de seguridad explican que encontraron tres tipos diferentes de herramientas en la computadora de la víctima. Dos de ellos son responsables de recopilar detalles sobre el firmware del sistema y de crear una copia del firmware del sistema leyendo el módulo de memoria flash SPI, donde se encuentra el firmware de UEFI.
El tercero inyecta el módulo malicioso y escribe el firmware comprometido de nuevo en la memoria flash SPI, creando persistencia para el malware.
Para llegar a la configuración UEFI / BIOS, todas las herramientas utilizan el controlador kernel de la herramienta RWEverything que permite la modificación de la configuración en el firmware de casi cualquier hardware. El controlador está firmado con un certificado válido.
"Esta herramienta de parches utiliza diferentes técnicas para abusar de las plataformas mal configuradas o para eludir las protecciones de escritura de la memoria flash SPI de la plataforma", dice ESET.
Si se niegan las operaciones de escritura, la herramienta maliciosa explota una vulnerabilidad de condición de carrera de cuatro años en UEFI ( CVE-2014-8273 ) para eludir las defensas.
El objetivo del rootkit es simplemente colocar malware en el sistema operativo Windows y asegurarse de que se ejecute al inicio.
Como defenderse del rootkit Lojiax UEFI
Es posible protegerse contra la infección LoJax habilitando el mecanismo de arranque seguro, que verifica que cada componente cargado por el firmware del sistema esté firmado con un certificado válido.
Dado que LoJax rootkit no está firmado, Secure Boot puede evitar que caiga el malware en primer lugar.
Otra forma de protegerse contra el rootkit de Sednit es asegurarse de que la placa base tenga la última versión de firmware del fabricante. La herramienta de parchado puede hacer su trabajo solo si las protecciones para el módulo de flash SPI son vulnerables o están mal configuradas. Un firmware actualizado debería hacer infructuosa la operación de actualización maliciosa.
Sin embargo, actualizar el firmware es una tarea con la que la mayoría de los usuarios no están familiarizados. Es una operación manual que generalmente implica descargar la última versión de firmware del fabricante de la placa base, guardarla en un dispositivo de almacenamiento externo, iniciar en el menú de UEFI e instalarla.
Una alternativa es reemplazar la placa base con una generación más nueva ya que LoJax afecta a los conjuntos de chips más antiguos. Esto requiere algunos conocimientos técnicos, para garantizar la compatibilidad del hardware, y la mayoría de los usuarios encuentran que es más fácil reemplazar toda la estación.