Attacchi UEFI: la nuova frontiera della criminalità informatica è ora realtà

UEFI e Rootkit entrano di diritto tra le APT pubblicamente riconosciute
del 09/10/18 -

Con il passare del tempo, la conoscenza dei termini informatici è cresciuta sia tra il grande pubblico sia tra le imprese. Ciò ha portato anche a una crescente consapevolezza delle minacce tecnologiche. Malware, ransomware, criptomining e minacce persistenti avanzate sono entrate nella nostra coscienza collettiva, se non addirittura come termini di uso comune. Tuttavia, vi sono minacce che non sono così popolari e di cui solo i più informati sono consapevoli.

Introduzione ai rootkit e UEFI


Nel 2007, in seguito all’accordo tra Intel, AMD e Microsoft, nonché ai produttori di PC su una necessità di superare i limiti del sistema BIOS (Basic Input / Output System) e in vista dell’implementazione di sistemi operativi a 64 bit, nasce l’UEFI (Unified Extensible Firmware Interface). Questa scelta fu in gran parte dettata dalla necessità di migliorare le prestazioni e la sicurezza dei processi di avvio del PC.

Oltre a seguire da vicino la transizione dal BIOS all’UEFI per tutto il 2007, ESET si unì pubblicamente alla discussione sulla sicurezza e nel 2012 ha ipotizzato che il nuovo sistema di avvio potesse diventare un vettore di minacce concrete. Nello specifico, le preoccupazioni si sono concentrate sulla potenziale distribuzione di strumenti che potrebbero (come con BIOS) alterare o manipolare un PC durante la sua sequenza di avvio. Negli anni successivi, molti nel settore e probabilmente anche tantissimi criminali informatici si sono interrogati sulle modalità per sviluppare dei rootkit specifici in grado di sfruttare questo canale di infezione. Ma fino a poco tempo fa questi intenti rimasero solo ipotetici.

Tuttavia, “Visto tutto l’interesse nel poter sfruttare la sequenza di avvio di un PC per attaccarlo, abbiamo deciso di concentrarci sull’identificare tutte le minacce in grado di sfruttare questa fase” come affermato da Roman Kovac, Chief Research Officer di ESET. Mentre molti esperti di sicurezza informatica in tutto il mondo si occupavano di monitorare i rootkit, inclusi quelli UEFI, ESET ha deciso di creare una nuova funzionalità da integrare nella propria tecnologia che fosse in grado di rilevare le modifiche del firmware.

Una complicazione con la scansione UEFI è che ci sono molti motivi legittimi per la sua modifica. Purtroppo però molti degli stessi vettori che consentono questo tipo di modifiche come la diagnostica o la manutenzione remota, possono anche essere utilizzati in modo scorretto per sfruttare delle vulnerabilità. Tra i metodi studiati sicuramente quello di intervenire fisicamente sulla macchina era finora il più probabile, pensiamo per esempio a un dipendente scontento o a un intruso che modifica il firmware delle macchine di un’azienda allo scopo di danneggiarla.

Un’altra opzione, l’ultima scoperta in ordine di tempo e che maggiormente ci interessa, è un attacco remoto che utilizzi un malware e vari altri strumenti per modificare il firmware.
ESET è l’unico fornitore tra i Top 20 a fornire questo livello di protezione in grado di bloccare un simile attacco, ma questa scelta è stata possibile soltanto allontanandosi dai classici paradigmi della sicurezza informatica. Questa decisione ha richiesto enormi sforzi nella ricerca e sviluppo per implementare l’ESET UEFI Scanner già a partire dal 2017 e aggiungendo così la possibilità di eseguire la scansione del firmware di un computer alla tecnologia multilivello presente nelle nostre soluzioni aziendali e consumer.
Il mito diventa realtà – Sednit trasforma il software antifurto in un APT.

Tra i criminali informatici, le cybergang e le minacce malware che ESET e l’industria in generale hanno tracciato, il gruppo Sednit noto anche come Fancy Bears è sicuramente un “sorvegliato speciale”.
Sospettato di celarsi dietro molti attacchi di alto profilo in ambito politico, giornalistico e persino sportivo, Sednit vanta nel suo arsenale un insieme diversificato di potenti strumenti malware.

Nel documento “En Route with Sednit” divulgato nell’ottobre 2016, ESET ha precorso i tempi discutendo le prolifiche capacità del gruppo. Da allora abbiamo raccolto un ampio set di indizi rintracciando gli strumenti utilizzati dal gruppo.
A maggio, i membri della più ampia comunità di cyber security hanno descritto come il codice del file eseguibile di LoJack di Absolute Software, una soluzione legittima per il recupero di laptop, fosse stato infettato con un Trojan. Ora i ricercatori ESET hanno dimostrato che dietro questa infezione vi sia proprio il gruppo Sednit, noto anche come FancyBears.

Campioni malevoli mostrano le comunicazioni con un server di comando e controllo (C & C) compromesso invece del server legittimo di Absolute Software, che alterano le impostazioni di configurazione hardcoded del prodotto originale. Tra gli altri indizi troviamo l’uso dei domini C & C per la famigerata backdoor di primo livello, SedUploader, registrato per la prima volta nel 2017.
A causa di queste connessioni i ricercatori di ESET hanno iniziato a riferirsi all’utilizzo malevolo della campagna del software legittimo, come LoJax.

Cosa significa questo assalto al sistema UEFI per gli utenti?
Senza esagerare, il fatto che il malware che si sta infiltrando con successo nell’UEFI sia stato trovato in-the-wild è motivo di seria preoccupazione. Dal momento che l’hacking UEFI migliora la persistenza del malware ed è quasi non identificabile dai tradizionali metodi di scansione delle classiche soluzioni di sicurezza informatica, gli hacker sono alla ricerca di modi per ottenere l’accesso, aumentare i privilegi degli utenti e scrivere direttamente sull’interfaccia UEFI, ovvero parte della memoria flash che contiene il codice attendibile per avviare il computer.



Licenza di distribuzione:
INFORMAZIONI SULLA PUBBLICAZIONE
Elisabetta Giuliano
Responsabile account:
Elisabetta Giuliano (Responsabile pubblicazioni)
Contatti e maggiori informazioni
Vedi altre pubblicazioni di questo utente
© Pensi che questo testo violi qualche norma sul copyright, contenga abusi di qualche tipo? Contatta il responsabile o Leggi come procedere
Stampa ID: 303574