Una delle minacce più aggressive di Internet potrebbe rendere mainstream il malware UEFI

0
34

Una delle minacce più aggressive di Internet è appena diventata più cattiva, con la capacità di infettare una delle parti più critiche di qualsiasi computer moderno.

Trickbot è un malware che si distingue per le sue capacità avanzate. Il suo framework modulare eccelle nell'acquisizione di potenti privilegi di amministratore, nel diffondersi rapidamente da un computer all'altro nelle reti e nell'effettuare una ricognizione che identifica i computer infetti appartenenti a obiettivi di alto valore. Utilizza spesso software prontamente disponibile come Mimikatz o exploit come EternalBlue rubati alla National Security Agency.

Una volta che un semplice trojan per frodi bancarie, Trickbot nel corso degli anni si è evoluto in una piattaforma completa di malware-as-a-service. Gli operatori di Trickbot vendono l'accesso al loro vasto numero di macchine infette ad altri criminali, che utilizzano la botnet per diffondere trojan bancari, ransomware e una miriade di altri software dannosi. Anziché dover affrontare la seccatura di intrappolare le vittime stesse, i clienti hanno a disposizione un gruppo di computer già pronti che eseguiranno il loro crimeware.

Il primo anello della catena della sicurezza

Ora, Trickbot ha acquisito un nuovo potere: la capacità di modificare l'UEFI di un computer. Abbreviazione di Unified Extensible Firmware Interface, UEFI è il software che collega il firmware del dispositivo di un computer con il suo sistema operativo. Essendo il primo software da eseguire quando praticamente qualsiasi macchina moderna è accesa, è il primo anello della catena della sicurezza. Poiché l'UEFI risiede in un chip flash sulla scheda madre, le infezioni sono difficili da rilevare e rimuovere.

Secondo i risultati della ricerca pubblicati giovedì, Trickbot è stato aggiornato per incorporare un driver offuscato per RWEverything, uno strumento standard che le persone usano per scrivere firmware praticamente su qualsiasi dispositivo.

Al momento, i ricercatori hanno rilevato Trickbot utilizzando lo strumento solo per verificare se una macchina infetta è protetta da modifiche non autorizzate all'UEFI. Ma con una singola riga di codice, il malware potrebbe essere modificato per infettare o cancellare completamente la parte critica del firmware.

Annuncio pubblicitario

"Questa attività pone le basi per gli operatori di TrickBot per eseguire misure più attive come l'installazione di impianti firmware e backdoor o la distruzione (bricking) di un dispositivo mirato", ha affermato il post di giovedì pubblicato congiuntamente dalle società di sicurezza AdvIntel ed Eclypsium. "È del tutto possibile che gli autori delle minacce stiano già sfruttando queste vulnerabilità contro obiettivi di alto valore".

Raro per ora

Finora, ci sono stati solo due casi documentati di malware del mondo reale che infettano l'UEFI. Il primo, scoperto due anni fa dal fornitore di sicurezza ESET, è stato realizzato da Fancy Bear, uno dei gruppi di hacker più avanzati al mondo e un braccio del governo russo. Riproponendo uno strumento antifurto legittimo noto come LoJack, gli hacker sono stati in grado di modificare il firmware UEFI in modo che segnalasse ai server Fancy Bear piuttosto che a quelli appartenenti a LoJack.

Il secondo lotto di infezioni UEFI nel mondo reale è stato scoperto solo due mesi fa dalla società di sicurezza con sede a Mosca Kaspersky Lab. I ricercatori dell'azienda hanno trovato il firmware dannoso su due computer, entrambi appartenenti a figure diplomatiche situate in Asia. Le infezioni hanno piantato un file dannoso nella cartella di avvio di un computer in modo che potesse essere eseguito ogni volta che il computer si avviava.

I chip flash residenti sulla scheda madre che memorizzano l'UEFI dispongono di meccanismi di controllo dell'accesso che possono essere bloccati durante il processo di avvio per impedire modifiche non autorizzate del firmware. Spesso, tuttavia, queste protezioni sono disattivate, configurate in modo errato o ostacolate da vulnerabilità.

Infezioni UEFI su larga scala

Al momento, i ricercatori hanno visto Trickbot utilizzare le sue capacità di scrittura UEFI appena acquisite per verificare se le protezioni sono in atto. Si presume che gli operatori di malware stiano compilando un elenco di macchine vulnerabili a tali attacchi. Gli operatori potrebbero quindi vendere l'accesso a quelle macchine. I clienti che spingono il ransomware potrebbero utilizzare l'elenco per sovrascrivere l'UEFI e rendere non avviabile un gran numero di macchine. I client Trickbot intenzionati allo spionaggio potrebbero utilizzare l'elenco per installare backdoor difficili da rilevare su PC in reti di alto valore.

L'abbraccio di Trickbot al codice di scrittura UEFI minaccia di rendere mainstream tali attacchi. Invece di essere il dominio di gruppi di minacce persistenti avanzati che in genere sono finanziati dagli stati nazione, l'accesso ai computer vulnerabili UEFI potrebbe essere affittato agli stessi criminali di livello inferiore che ora utilizzano Trickbot per altri tipi di attacchi malware.

"La differenza qui è che l'approccio modulare automatizzato di TrickBot, l'infrastruttura robusta e le capacità di implementazione di massa rapida portano un nuovo livello di scala a questa tendenza", hanno scritto i ricercatori di AdvIntel ed Eclypsium. "Tutti i pezzi sono ora pronti per campagne distruttive su larga scala o incentrate sullo spionaggio che possono colpire interi verticali o porzioni di infrastrutture critiche".