LoJax, el primer malware UEFI que sobrevive el formateo de la PC

“LoJax” reutilizó el agente antirrobo LoJack como rootkit que podría sobrevivir a las reinstalaciones del sistema operativo.

ESET Research ha publicado un artículo que detalla el descubrimiento de una campaña de malware que usó software comercial reutilizado para crear una puerta trasera en el firmware de las computadoras, un “rootkit”, activo desde al menos a principios de 2017 y capaz de sobrevivir a la reinstalación del Sistema Windows o incluso reemplazo del disco duro. Si bien el malware se había detectado anteriormente, la investigación de ESET es la primera en demostrar que estaba atacando activamente el firmware de las computadoras para establecer un punto de apoyo tenaz.

Apodado “LoJax”, el malware es el primer caso de un ataque que aprovecha el sistema de arranque “Interfase Extensible de Firmware Unificado” (UEFI, por sus siglas en ingles) utilizado en un ataque por un adversario. Y debido a la forma en que se propagó el malware, es muy probable que haya sido creado por el grupo de amenazas Sednit / Fancy Bear / APT 28, la operación patrocinada por el estado ruso vinculada por la inteligencia de los EE. UU. Y la policía al ataque cibernético al Comité Nacional Demócrata .

UEFI uh-oh

Ha habido una serie de preocupaciones en materia de seguridad sobre el potencial de UEFI como escondite para los rootkits y otros programas maliciosos, incluidos los planteados por Dick Wilkins y Jim Mortensen, desarrolladores del firmware en  Phoenix Technologies en una presentación en la UEFI Plugfest el año pasado. “El firmware es un software y, por lo tanto, es vulnerable a las mismas amenazas que suelen atacar al software”, explicaron. UEFI es esencialmente un sistema operativo liviano en sí mismo, lo que lo convierte en un lugar práctico para poner rootkits para aquellos que pueden administrarlo.

Los archivos de Wikileaks ‘Vault 7 mostraron que la CIA aparentemente desarrolló un implante para las computadoras de Apple que usaba la Interfaz de Firmware Extensible (el predecesor de UEFI) pero que requería acceso físico a la computadora y un adaptador Ethernet Thunderbolt malicioso (llamado “Destornillador sónico”) . Pero LoJax es un animal completamente diferente: fue creado para ser implementado de forma remota, utilizando herramientas de malware que pueden leer y sobrescribir partes de la memoria flash del firmware UEFI.

“Junto con los agentes de LoJax”, observaron los investigadores de ESET, “se encontraron herramientas con la capacidad de leer el firmware UEFI de los sistemas, y en un caso, esta herramienta fue capaz de volcar, parchar y sobrescribir parte de la memoria flash SPI del sistema. El objetivo final de esta herramienta era instalar un módulo UEFI malintencionado en un sistema cuyas protecciones de memoria flash SPI eran vulnerables o mal configuradas “.

Debido a las variaciones en la implementación de UEFI, ese tipo de problemas de protección de la memoria, la misma clase de cosas de las que advirtieron Wilkins y Mortensen, han sido demasiado comunes. Y los investigadores de ESET encontraron al menos un caso confirmado de un despliegue exitoso de LoJax.

Los buenos hackers toman prestado, los hackers estatales roban

Si bien LoJax muestra todas las características de un ataque financiado por el estado, el equipo de Fancy Bear tuvo un poco de ventaja cuando llegó a la carga útil de UEFI: los Bears tomaron prestado un producto de software comercial diseñado específicamente para permanecer activo en El firmware de una computadora. El rootkit de LoJax es esencialmente una versión modificada de una versión del 2008 del agente antirrobo LoJack de Absolute Software, conocida en el momento de su lanzamiento como Computrace.

“LoJack atrajo mucha atención en los últimos años ya que implementa un módulo UEFI / BIOS como un mecanismo de persistencia”, escribió el equipo de ESET. Ese módulo de firmware aseguró que un “pequeño agente” de software permaneciera instalado en la computadora, que se conectó a un servidor web de Absolute, incluso si la computadora tenía su unidad borrada. En otras palabras, Computrace era un rootkit de firmware desarrollado comercialmente.

Los protocolos utilizados por el cliente asociado con LoJack / Computrace no tenían autenticación. Entonces, si alguien pudiera hacerse pasar por los servidores de Absolute, habría podido secuestrar al cliente para sus propios fines. Si bien este problema fue planteado por los investigadores en 2014, pasarán cuatro años más antes de que hubiera un indicio de que alguien realmente lo había hecho.

El 1 de mayo, Arbor Networks informó sobre el descubrimiento de muestras “troyanas” del agente pequeño de LoJack, versiones que se habían modificado para comunicarse con servidores sospechosos de estar conectados a las actividades de Fancy Bear. Los dominios utilizados por el malware fueron los mismos que se usaron en 2017 para otra puerta trasera conocida como SedUploader. Las diferencias entre el cliente LoJack legítimo y el cliente malintencionado eran tan pequeñas (en decenas de bytes, según los investigadores de ESET) que en gran parte no se detectaban como malware.

“En el momento en que se publicó el blog [Arbor Networks]”, escribió el equipo de ESET, “encontramos diferentes agentes LoJax pequeños que apuntan a diferentes entidades en los Balcanes, así como en Europa Central y Oriental, pero no teníamos idea de cómo se instalaron. ”Si bien en algunos casos se encontraron rastros de otro malware Fancy Bear / Sednit, hubo otros en los que no se observó ningún medio de entrega.

Después, los investigadores encontraron dos herramientas en un sistema infectado: una para leer la memoria flash de la Interfaz Periférica Serial (SPI) asociada con el firmware UEFI y otra para sobrescribir esa memoria. La herramienta de lectura se basó en controladores de una herramienta gratuita y legítima llamada RWEverything. La herramienta de escritura, ReWriter_binary, busca la sección de la memoria flash del firmware que contiene los controladores del entorno de ejecución del controlador (DXE), controladores que se ejecutan muy temprano en el arranque de UEFI. Luego escribe su propio controlador DXE malintencionado en esa área de memoria, intentando evitar cualquier restricción establecida en el firmware para evitar dicha escritura. Desafortunadamente, muchas de las salvaguardas para evitar la escritura maliciosa en el BIOS están desactivadas de manera predeterminada en muchas implementaciones de UEFI.

En otra parte de los préstamos, el código en el módulo UEFI malicioso utiliza un controlador NTFS para acceder a la partición de disco de Windows para realizar cambios e instalar su agente. Este controlador NTFS fue robado de un software filtrado escrito por Hacking Team, una empresa de seguridad informática con sede en Milán (y piratería ofensiva para contratar).

Realmente, este rootkit patrocinado por el estado ruso fue un esfuerzo de equipo.

 

[Con información de Arstechnica.com]

Comentarios

TEC Madri

E̶m̶p̶r̶e̶n̶d̶e̶d̶o̶r̶, Co Fundador de G3 Newtork México, Coord Staff ComicFest Puebla Locutor de radio en G3 Radio, #campusero en #cpmx, #brony