I clienti ESET già protetti grazie all’innovativo Scanner UEFI integrato in tutte le ultime soluzioni di sicurezza basate sulla pluripremiata tecnologia NOD32.
I ricercatori ESET hanno scoperto un attacco informatico in cui è stato utilizzato per la prima volta un rootkit UEFI per mantenere una connessione con i computer delle vittime. Soprannominato LoJax, questo rootkit faceva parte di una campagna gestita dal famigerato gruppo Sednit e diretta verso diversi obiettivi di alto profilo nell’Europa centrale e orientale. Si tratta del primo attacco di questo tipo reso pubblicamente noto.
Sebbene, in teoria, si fosse a conoscenza dell’esistenza di rootkit UEFI, la scoperta dei ricercatori di ESET conferma che sono effettivamente utilizzati da un gruppo APT attivo. Quindi non sono più solo una potenziale minaccia, ma un vero e proprio pericolo.
I rootkit UEFI sono strumenti formidabili ed estremamente pericolosi per gli attacchi informatici. Servono a entrare dentro l’intero computer, sono difficili da rilevare e in grado di persistere anche a fronte di misure di sicurezza informatica drastiche come la reinstallazione del sistema operativo o persino alla sostituzione di un disco rigido. Inoltre, anche la pulizia di un sistema infettato da un rootkit UEFI richiede conoscenze ben al di là di quelle di un utente normale, come ad esempio il flashing del firmware.
Sednit, conosciuto anche come APT28, STRONTIUM, Sofacy o Fancy Bear, è uno dei gruppi APT più attivi ed è operativo almeno dal 2004. Presumibilmente sono da attribuirsi al gruppo Sednit, la violazione subita dal Democratic National Committee durante le elezioni americane del 2016, l’hacking dell’emittente televisiva TV5Monde, la fuga di email dall’Agenzia mondiale antidoping e molti altri attacchi.
Questo gruppo può vantare nel suo arsenale una gamma molto ampia di malware e diversi tra questi sono stati in più occasioni analizzati dai ricercatori ESET in molteplici documenti dedicati come anche in numerosi blogpost su WeLiveSecurity.
Modalità di infezione dello UEFI
Sui sistemi che sono stati presi di mira dalla campagna LoJax, abbiamo trovato vari strumenti che sono in grado di accedere e correggere le impostazioni UEFI / BIOS. Tutti hanno utilizzato un driver kernel, RwDrv.sys, per accedere alle impostazioni UEFI / BIOS. Questo driver kernel è fornito in bundle con RWEverything, una utility gratuita disponibile sul Web che può essere utilizzata per leggere le informazioni su quasi tutte le impostazioni di basso livello di un computer, tra cui PCI Express, memoria, opzioni ROM PCI, ecc. si tratta di un software legittimo firmato con un certificato valido.
Tre diversi tipi di strumenti sono stati trovati insieme agli agenti userland di LoJax. Il primo è uno strumento che scarica informazioni sulle impostazioni di sistema di basso livello in un file di testo. Dal momento che bypassare la protezione di una piattaforma per scrivere aggiornamenti illegittimi del firmware dipende molto dall’ambiente, la raccolta di informazioni sulla piattaforma di un sistema è fondamentale. Lo scopo del secondo strumento era quello di salvare un’immagine del firmware di sistema in un file, leggendo il contenuto della memoria flash SPI in cui si trova UEFI / BIOS. Lo scopo del terzo strumento era quello di aggiungere un modulo UEFI malevolo all’immagine del firmware e scriverlo nuovamente nella memoria flash SPI, installando efficacemente il rootkit UEFI sul sistema. Questo strumento di applicazione delle patch utilizza tecniche diverse per violare lei piattaforme configurate in modo errato o per ignorare le protezioni di scrittura della memoria flash SPI della piattaforma. Come illustrato nella figura successiva, se la piattaforma consente le operazioni di scrittura sulla memoria flash SPI, procederà semplicemente e scriverà su di essa. In caso contrario, avvia un exploit per sfruttare una vulnerabilità nota.
Il rootkit UEFI aggiunto all’immagine del firmware ha un unico ruolo: rilasciare il malware userland nella partizione dove è installato il sistema operativo Windows e assicurarsi che venga eseguito all’avvio.
Come proteggersi
Il rootkit UEFI di Sednit non è firmato correttamente, quindi il primo meccanismo di sicurezza che avrebbe potuto bloccare un simile attacco è Secure Boot. Quando Secure Boot è abilitato, ogni componente del firmware che viene caricato deve essere firmato correttamente, garantendo in tal modo l’integrità del firmware stesso. Consigliamo vivamente di abilitarlo. Questa è la difesa di base contro gli attacchi mirati al UEFI e può essere abilitata all’avvio attraverso le impostazioni del sistema UEFI.
Esistono diverse protezioni fornite dalla piattaforma per impedire scritture non autorizzate alla memoria flash SPI del sistema.
Lo strumento sopra descritto è in grado di aggiornare il firmware del sistema solo se le protezioni della memoria flash SPI sono vulnerabili o mal configurate. Pertanto, è necessario assicurarsi di utilizzare l’ultimo sistema UEFI / BIOS disponibile per la scheda madre. Inoltre, poiché la vulnerabilità sfruttata interessa solo i chipset meno recenti, assicurarsi che i sistemi critici adottino quelli che integrino il Platform Controller Hub (introdotto con chipset Intel serie 5 nel 2008).
Sfortunatamente per l’utente medio, l’aggiornamento del firmware di un sistema non è un compito banale. Pertanto, la sicurezza del firmware è principalmente nelle mani dei fornitori UEFI / BIOS. I meccanismi di sicurezza forniti dalla piattaforma devono essere configurati correttamente dal firmware del sistema per poterlo effettivamente proteggere. Il firmware dovrebbe essere sicuro già dalla fase di progettazione. Fortunatamente, sempre più ricercatori di sicurezza stanno esaminando la sicurezza del firmware, contribuendo così a migliorare quest’area e ad aumentare la consapevolezza tra i fornitori UEFI / BIOS.
Il ripristino di un firmware UEFI compromesso basato è un problema difficile. Non ci sono modi semplici per rimuovere automaticamente una minaccia da un sistema. Nel caso sopra descritto: per rimuovere il rootkit, la memoria flash SPI deve essere ridisegnata con un’immagine del firmware pulita specifica per la scheda madre. Questa è un’operazione delicata che deve essere eseguita manualmente. Non è sicuramente una procedura con cui la maggior parte degli utenti di computer ha dimestichezza. L’unica alternativa al reflashing UEFI / BIOS è sostituire completamente la scheda madre del sistema compromesso.
Collegamenti con il gruppo APT Sednit
Alcuni dei server C & C LoJax small agent sono stati utilizzati in passato da SedUploader, una backdoor di primo livello regolarmente utilizzata dai criminali di Sednit. Inoltre, in caso di compromissione LoJax, spesso sono presenti tracce di altri strumenti Sednit. Per esempio i sistemi colpiti da questa minaccia di solito mostrano anche i segni dei seguenti malware Sednit:
- SedUploader, una backdoor di primo livello
- XAgent, la backdoor più nota di Sednit
- Xtunnel, uno strumento proxy di rete in grado di inoltrare qualsiasi tipo di traffico di rete tra un server C & C su Internet e un computer endpoint all’interno di una rete locale
Questi indizi ci inducono quindi ad attribuire LoJax con molta probabilità al gruppo Sednit.
Conclusione
La scoperta del primo rootkit UEFI utilizzato in un attacco informatico deve servire da campanello di allarme per gli utenti e le aziende che spesso ignorano i rischi connessi alle modifiche del firmware.
Secondo i ricercatori di ESET ora sarà indispensabile effettuare il controllo periodico dei firmware nei normali processi di sicurezza. È vero che gli attacchi su UEFI sono estremamente rari e fino ad ora erano per lo più limitati alla manomissione fisica del computer di destinazione; tuttavia un tale attacco, se dovesse avere successo, permetterebbe il pieno controllo di un computer, con una persistenza pressoché totale.
ESET è l’unico tra i maggiori produttori di soluzioni di sicurezza endpoint ad aver aggiunto un livello di protezione dedicato, l’esclusivo ESET UEFI Scanner, progettato per rilevare componenti pericolosi nel firmware dei PC. Grazie all’ESET UEFI Scanner, sia gli utenti privati sia quelli aziendali sono avvantaggiati, perché ora sono in grado di rilevare e proteggersi da questo tipo di attacchi.
4 Comments