Netranet – Blog Oficial | Segurança da Informação, Proteção de Dados e Soluções de Data Center

Pesquisadores de segurança cibernética descobriram o primeiro Rootkit UEFI em estado selvagem.

Netranet
Blog Netranet Networking | Segurança da Informação - Pesquisadores de segurança cibernética descobriram o primeiro Rootkit UEFI em estado selvagem.

Blog Netranet Networking | Segurança da Informação - Pesquisadores de segurança cibernética descobriram o primeiro Rootkit UEFI em estado selvagem.

Pesquisadores de segurança cibernética descobriram o primeiro Rootkit UEFI em estado selvagem.

Pesquisadores de segurança cibernética revelaram o que eles afirmam ser o primeiro rootkit UEFI a ser usado na natureza, permitindo que hackers implantem malware persistente nos computadores de destino que poderiam sobreviver a uma limpeza completa do disco rígido.

Apelidado de LoJax , o rootkit UEFI faz parte de uma campanha de malware conduzida pelo infame grupo Sednit, também conhecido como APT28, Fancy Bear , Strontium e Sofacy , para atingir várias organizações governamentais nos Bálcãs, bem como na Europa Central e Oriental.

Operando desde pelo menos 2007, o grupo Sednité um grupo de hackers patrocinado pelo Estado que se acredita ser uma unidade do GRU (Diretório Geral de Inteligência do Estado-Maior General), uma agência de inteligência militar secreta russa. O grupo de hackers tem sido associado a vários ataques de alto nível, incluindo o hack do DNC pouco antes da eleição presidencial dos EUA em 2016.

O UEFI, ou Unified Extensible Firmware Interface, um substituto para o BIOS tradicional, é um componente central e crítico de firmware de um computador, que liga o hardware e o sistema operacional de um computador na inicialização e normalmente não é acessível aos usuários.

Como o LoJax UEFI Rootkit funciona?

De acordo com os pesquisadores, o malware LoJax tem a capacidade de gravar um módulo UEFI mal-intencionado na memória flash SPI do sistema, permitindo que o firmware do BIOS instale e execute malwares dentro do disco do computador durante o processo de inicialização.

Como o LoJax rootkit reside no firmware T comprometido e infecta novamente o sistema antes que o SO seja inicializado, reinstalar o sistema operacional, formatar o disco rígido ou até mesmo substituir o disco rígido por um novo não seria suficiente para limpar a infecção.

A atualização do firmware comprometido com software legítimo é a única maneira de remover esse malware de rootkit, que normalmente não é uma tarefa simples para a maioria dos usuários de computador.

Visto pela primeira vez no início de 2017, o LoJax é uma versão trojan de um legítimo software anti-furto LoJack legítimo da Absolute Software, que instala seu agente no BIOS do sistema para sobreviver à reinstalação do SO ou à substituição de unidade e notifica o proprietário do dispositivo de sua localização caso o laptop seja roubado.

De acordo com os pesquisadores, os hackers modificaram ligeiramente o software LoJack para ganhar sua capacidade de sobrescrever o módulo UEFI e mudaram o processo de segundo plano que se comunica com o servidor da Absolute Software para reportar aos servidores C & C da Fancy Bear.

Ao analisar a amostra do LoJax, os pesquisadores descobriram que os agentes de ameaças usavam um componente chamado “ReWriter_binary” para reescrever os chips vulneráveis da UEFI, substituindo o código do fornecedor pelo malicioso.

O LoJax não é o primeiro código a se esconder no chip UEFI, pois o vazamento do 2015 Hacking Team revelou que o infame fabricante de spyware ofereceu a persistência do UEFI com um de seus produtos.

Além disso, um dos documentos da CIA vazados pelo Wikileaks no ano passado deu uma visão clara sobre as técnicas usadas pela agência para ganhar ‘persistência’ em dispositivos Apple Mac, incluindo Macs e iPhones, demonstrando seu uso de malware EFI / firmware e firmware.

No entanto, a instalação do rootkit LoJax descoberta por seus pesquisadores é o primeiro caso já registrado de um rootkit UEFI ativo na natureza.

Blog Netranet Networking | Segurança da Informação – Sophos InterceptX . Conheça a melhor proteção contra ransomware do mundo.

Como proteger seu computador de rootkits

Como os pesquisadores disseram, não há maneiras fáceis de remover automaticamente essa ameaça de um sistema.

Como o rootkit UEFI não está corretamente assinado, os usuários podem se proteger contra a infecção LoJax, ativando o mecanismo de inicialização segura, que garante que cada componente carregado pelo firmware do sistema seja assinado corretamente com um certificado válido.

Se você já está infectado com esse malware, a única maneira de remover o rootkit é reflash a memória flash SPI com uma imagem de firmware limpa específica para a placa mãe, que é um processo muito delicado que deve ser executado manualmente e com cuidado.

Alternativa ao reflashing do UEFI / BIOS, você pode substituir a placa mãe do sistema comprometido diretamente.

Para detalhes mais detalhados sobre a raiz LoJax, você pode ir em um white paper [ PDF ], intitulado “LoJax: Primeiro rootkit UEFI encontrado na natureza, cortesia do grupo Sednit.

Tem algo a dizer sobre este artigo? Comente abaixo ou compartilhe conosco no Facebook, Twitter ou no nosso Grupo LinkedIn.

Leia também: 4 dicas simples para melhorar sua proteção contra Ransomware SamSam.

Sair da versão mobile