In occasione della conferenza Microsoft BlueHat 2018, i ricercatori ESET hanno presentato i risultati di una ricerca con cui dimostrano l’esistenza del primo rootkit UEFI mai analizzato. L’importanza della scoperta sta nella natura del codice: un rootkit in grado di installarsi su computer che usano UEFI (interfaccia di boot che ha sostituito il BIOS), infatti, è in grado di resistere tanto alla formattazione del disco, quanto alla sua sostituzione. Insomma: operando a livello preventivo sulla macchina, “LoJax” è in grado di reinstallarsi volta per volta resistendo quindi ad eventuali tentativi di rimozione.
LoJax, rootkit UEFI
Il codice scoperto è stato attribuito dai ricercatori ESET al gruppo Sednit (anche catalogati come APT28, Sofacy, Stronziu, e Fancy Bear, tutti nomi tristemente famosi nelle cronache recenti della cybersecurity tra le quali il noto attacco VPNFilter che nei mesi scorsi ha afflitto i router Netgear, Linksys, Mikrotik e TP-Link):
La ricerca di ESIT dimostra che gruppo criminale è riuscito ad iniettare il codice malevolo all’interno della memoria flash di UEFI. In questo modo è possibile eseguire un malware ad ogni riavvio della macchina in modo persistente anche dopo la reinstallazione del sistema operativo.
Il codice di LoJax deriva da “LoJack” di “Absolute Software”, software la cui finalità è quella di ritrovare un dispositivo mobile in caso di furto o smarrimento. Questo tipo di software, peraltro installato da un considerevole numero di produttori, ben si presta ad un uso strumentale con fini differenti e così hanno fatto i cracker che ci hanno messo le mani sopra:
Essendo un antifurto, il software veniva implementato come un modulo UEFI / BIOS, in modo da sopravvivere alla reinstallazione del sistema operativo o alla sostituzione del disco rigido. Il gruppo APT-28 ha quindi pensato di sfruttare la caratteristica di persistenza di LoJack per trasformarlo nel 2016 in un trojan e in un rootkit nel 2018
L’impatto di questo tipo di attacco è in realtà minimo, poiché concentrato geograficamente nell’area dei Balcani e poiché pensato in particolare per grandi aziende ed enti governativi. Tuttavia la tipologia rivela una forte pericolosità dovuta alla capacità del codice di resistere ai tentativi di rimozione ed in virtù del potenziale pericolo che l’attacco potrebbe manifestare in aziende ed enti della Pubblica Amministrazione. Secondo quanto comunicato dal Computer Emergency Response Team (CERT-PA), le contromisure per mettere il sistema al riparo da qualsivoglia attacco di tipo LoJax prevedono di:
- aggiornare tutti gli UEFI all’ultima versione, in quanto le vulnerabilità sfruttate finora sono presenti solo in vecchie versioni;
- abilitare il SecureBoot, il sistema che permette di scrivere nell’UEFI solo se si ha un certificato di identità digitale autorizzato.
Ma le parole dei ricercatori ESET ben esplicano quanto complessa possa essere l’operazione e quanto perigliosa possa dunque essere la gestione di un’infezione simile:
Il ripristino di un firmware UEFI compromesso basato è un problema difficile. Non ci sono modi semplici per rimuovere automaticamente una minaccia da un sistema. Nel caso sopra descritto: per rimuovere il rootkit, la memoria flash SPI deve essere ridisegnata con un’immagine del firmware pulita specifica per la scheda madre. Questa è un’operazione delicata che deve essere eseguita manualmente. Non è sicuramente una procedura con cui la maggior parte degli utenti di computer ha dimestichezza. L’unica alternativa al reflashing UEFI / BIOS è sostituire completamente la scheda madre del sistema compromesso.