Bootkit UEFI personalizzato trovato in agguato in natura

479

sasha85ru | Getty Imates

Solo per la seconda volta negli annali della sicurezza informatica, i ricercatori hanno scoperto malware del mondo reale in agguato nell’UEFI, il firmware di basso livello e altamente opaco necessario per avviare quasi tutti i computer moderni.

In quanto software che collega il firmware del dispositivo di un PC con il suo sistema operativo, UEFI, abbreviazione di Unified Extensible Firmware Interface, è un sistema operativo a sé stante. Si trova in un chip di archiviazione flash collegato a SPI saldato sulla scheda madre del computer, rendendo difficile l’ispezione o la patch del codice. Ed è la prima cosa da eseguire quando un computer è acceso, consentendogli di influenzare o addirittura controllare il sistema operativo, le app di sicurezza e tutti gli altri software che seguono.

Queste caratteristiche rendono UEFI il luogo perfetto per riporre malware, ed è proprio ciò che ha fatto un gruppo di attacco sconosciuto, secondo una nuova ricerca presentata lunedì dalla società di sicurezza Kaspersky Lab.

L’anno scorso, dopo che la società con sede a Mosca ha integrato un nuovo scanner del firmware nei suoi prodotti antivirus, i ricercatori hanno recuperato un’immagine UEFI sospetta da uno dei suoi utenti. Dopo ulteriori ricerche, Kaspersky Lab ha scoperto che un utente separato era stato infettato dalla stessa immagine UEFI nel 2018. Entrambi gli utenti infetti erano figure diplomatiche con sede in Asia.

Annuncio pubblicitario

Il più alto livello di persistenza

L’analisi alla fine ha mostrato che ogni volta che il firmware veniva eseguito, controllava se un file intitolato IntelUpdate.exe si trovava all’interno della cartella di avvio di Windows. In caso contrario, l’immagine UEFI la collocherebbe lì. IntelUpdate.exe, si è scoperto, era un piccolo ma importante ingranaggio in un framework ampio e modulare creato per lo spionaggio e la raccolta di dati. IntelUpdate.exe fungeva da primo collegamento di una lunga catena. Ha segnalato a un server controllato da un utente malintenzionato di scaricare un altro collegamento, che a sua volta avrebbe scaricato altri collegamenti, tutti personalizzati in base al profilo della persona infetta.

La società di sicurezza presenterà i risultati alla sua conferenza Security Analyst Summit @Home. In un post sul blog che accompagna il panel, gli autori Mark Lechtik e Igor Kuznetsov hanno scritto:

Gli attacchi descritti in questo post sul blog dimostrano quanto può durare un attore per ottenere il massimo livello di persistenza su una macchina vittima. È molto raro vedere firmware UEFI compromesso in natura, di solito a causa della scarsa visibilità degli attacchi al firmware, delle misure avanzate necessarie per implementarlo sul chip flash SPI di un obiettivo e dell’elevata posta in gioco della masterizzazione di set di strumenti o risorse sensibili durante l’esecuzione così.

Con questo in mente, vediamo che UEFI continua a essere un punto di interesse per gli attori di APT, mentre in generale viene trascurato dai fornitori di sicurezza. La combinazione della nostra tecnologia e della comprensione delle campagne attuali e passate che sfruttano il firmware infetto, ci aiuta a monitorare e segnalare futuri attacchi contro tali obiettivi.