ESET descubre el primer ciberataque rootkit UEFI

Rootkits UEFI: de teoría a amenaza real

Los rootkits UEFI, el Santo Grial de los hackers, se temen desde hace mucho pero nunca se había visto ninguno, hasta que ESET descubrió una campaña del infame grupo Sednit APT. Algunos rootkits UEFI se han presentado en conferencias de seguridad como pruebas de concepto; otros se sabe que están a disposición de agencias gubernamentales. Sin embargo, hasta agosto de 2018, ningún rootkit UEFI se había detectado en un ciberataque real.

La campaña Sednit mencionada arriba utilizó un rootkit UEFI al que los investigadores de ESET han denominado Lojax. El análisis de ESET sobre la campaña se describe con detalle en el white paperLoJax: First UEFI rootkit found in the wild, courtesy of the Sednit group. Se puede encontrar más información sobre la seguridad UEFI en el blog de seguridad de ESET, WeLiveSecurity.

Riesgos de seguridad de firmware, UEFI, rootkits

El código del ordenador que se inicia justo después de que se encienda y tiene el máximo poder sobre el sistema operativo del PC (y por lo tanto de toda la máquina) se llama firmware. El estándar, imagínalo como un conjunto de reglas, sobre cómo se comporta el firmware se llama UEFI (su predecesor se llamaba BIOS). El firmware y el UEFI normalmente van conectados y se llaman firmware UEFI.

Un rootkit es un malware peligroso diseñado para conseguir acceso "Ilegal" y persistente a lugares que de otro modo no está permitido. Normalmente, un rootkit también oculta su existencia o la de otro malware.

Más información

Un rootkit UEFI se oculta en el firmware, y existen dos razones por las que este tipo de rootkit es extremadamente peligroso. Primero, los rootkits UEFI son muy persistentes, capaces de sobrevivir al reinicio del equipo, la reinstalación del sistema operativo e incluso al reemplazo del disco duro. Segundo, son difíciles de detectar porque normalmente no se revisa la integridad del código del firmware. Las soluciones de seguridad ESET que contienen una capa de protección dedicada, ESET UEFI Scanner, son una excepción.

El firmware UEFI malicioso es una pesadilla para cualquiera que se preocupe de la seguridad TI, muy dañino y difícil de detectar

Jean-Ian Boutin, Senior Malware Researcher en ESET

Cómo protege ESET del firmware UEFI malicioso

ESET es el único proveedor importante de seguridad en Internet que añade una capa dedicada, ESET UEFI Scanner, asignada a la detección de componentes maliciosos en el firmware.

ESET UEFI Scanner es una herramienta que hace que el firmware esté disponible para su análisis.  Posteriormente, el código del firmware se analiza por tecnologías de detección de malware. Los clientes de ESET pueden analizar el firmware de sus ordenadores de forma regular o bajo demanda. Muchas de las detecciones se etiquetan como Aplicaciones potencialmente sospechosas, un código que tiene un amplio poder sobre el sistema y, por lo tanto, puede ser mal utilizado. El mismo código puede ser totalmente legítimo si el usuario o un administrador lo reconocen, o puede ser malicioso si se instaló sin su conocimiento y consentimiento.

Más información

Naturalmente, desde el descubrimiento del primer ciberataque que utiliza un rootkit UEFI, los clientes de ESET equipados con ESET UEFI Scanner también pueden detectar estas modificaciones maliciosas y, por lo tanto, están en una excelente posición para protegerse.

Para remediarlo, está fuera del alcance del típico usuario. En principio, volver a flashear el chip con un firmware limpio siempre ayuda. Si no es posible, la única opción restante es reemplazar la placa base del ordenador.

Respuestas a preguntas frecuentes

¿Es verdad que ESET es el único proveedor de seguridad endpoint que protege de ciberataques de rootkits UEFI?

¿Es cierto que ESET es el único proveedor de soluciones de seguridad endpoint cuyos clientes pueden analizar el firmware UEFI en busca de componentes maliciosos? Si es así, ¿por qué otros competidores de ESET no tienen esta tecnología?

ESET es el único proveedor del Top 20 de proveedores de soluciones de seguridad endpoint por ingresos que proporciona a sus clientes una tecnología de análisis UEFI implementada en sus soluciones de protección de equipos. Mientras que otros proveedores pueden tener tecnologías con "UEFI" en su título, su propósito es diferente al de la función que un auténtico escáner de firmware debería realizar.

Como ESET es el único proveedor en su campo que protege el firmware UEFI de sus clientes, esto ilustra el enfoque responsable de ESET por la protección. Sí, los ataques facilitados por el firmware UEFI son esporádicos, y hasta ahora, se limitaban principalmente a la manipulación física del ordenador objetivo. Sin embargo, un ataque como este, si prospera, daría el control total del equipo, con una persistencia casi completa. Así que ESET tomó la decisión de invertir sus recursos en la capacidad de proteger a sus clientes de los ataques facilitados por el firmware UEFI.

El reciente descubrimiento de LoJax, el primer rootkit UEFI detectado en un ataque real a un ordenador demuestra que, por desgracia, los rootkits UEFI se pueden convertir en una parte regular de ataques avanzados a equipos.

Afortunadamente, gracias a ESET UEFI Scanner, nuestros clientes están en una posición excelente para detectar estos ataques y defenderse de ellos.

¿Por qué es importante analizar el firmware del equipo?

Para abreviar, analizar el firmware es la única manera de detectar modificaciones en él. Desde el punto de vista de la seguridad, el firmware corrupto del ordenador es extremadamente peligroso al ser difícil detectar y capaz de sobrevivir a métodos de seguridad como a la reinstalación del sistema operativo, e incluso al reemplazo del disco duro.

El fimware se podría comprometer en el estado de fabricación del ordenador, o durante su envío, o mediante la actualización del firmware si el atacante consigue acceso físico al dispositivo, pero también, tal y como muestra la reciente investigación de ESET, mediante un ataque de malware sofisticado.

¿Cómo funciona ESET UEFI Scanner?

Normalmente, el firmware no es accesible para el análisis de las soluciones de seguridad y por lo tanto, esta soluciones se diseñan para que solo analicen discos duros y memoria. Para acceder al firmware se necesita una herramienta especializada.

El “UEFI scanner” es un módulo de las soluciones de seguridad ESET cuya única función es leer el contenido del firmware UEFI y hacerlo accesible para su inspección. Así, ESET UEFI Scanner hace posible que el motor de análisis normal de ESET compruebe y refuerce la seguridad del entorno preinicio.

En resumen, las soluciones de seguridad ESET, con capacidades apoyadas en la tecnología de análisis UEFI, están diseñadas para detectar componentes maliciosos o sospechosos en el firmware e informar de ello al usuario.

¿Cómo reparar tu firmware UEFI?

Cuando se detecta un componente sospechoso o malicioso en el firmware, se notifica al usuario para que pueda tomar las medidas correctas.

Bajo un escenario, no hay nada malo con las detecciones. El componente malicioso puede pertenecer, por ejemplo, a una solución antirrobo diseñada para mantenerse al máximo en el sistema.

En otro escenario, sin embargo, no hay ninguna razón legítima para el descubrimiento de la presencia del componente no estándar en el firmware. En ese caso, se deben tomar acciones para remediarlo.

Por desgracia, no existen soluciones fáciles para limpiar el sistema de estas amenazas. En principio, el firmware necesita ser recargado de nuevo para eliminar el componente malicioso. Si recargar el UEFI no es una opción, la única alternativa es cambiar la placa base del sistema infectado.

¿Cómo descubrieron los investigadores de ESET la campaña utilizando el rootkit UEFI?

El descubrimiento de ESET está totalmente descrito de forma exhaustiva en unpost y un white paper publicados en el blog deseguridad de ESET, WeLiveSecurity.

En resumen, los investigadores de ESET, dirigidos por Jean-Ian Boutin, ESET Senior Researcher, realizaron un gran trabajo de investigación, combinando su profundo conocimiento del grupo Sednit APT, los datos telemétricos de los sistemas de detección de ESET y un descubrimiento previo de sus colegas en Arbor Network. Como resultado, han descubierto todo un nuevo conjunto de herramientas para ciberataques, incluyendo el primer rootkit UEFI.

El grupo Sednit APT. ¿Qué es?

Sednit, que opera desde al menos 2004 y también conocido como APT28, STRONTIUM, Sofacy y Fancy Bear, es uno de los grupos APT (Advanced Persistent Threat) más activos. Se sabe que dichos grupos realizan espionaje cibernético y otros ciberataques a objetivos de alto perfil.

El pirateo del Comité Nacional Demócrata que afectó a las elecciones de 2016 en Estados Unidos, el hackeo de la cadena de televisión TV5Monde, el filtrado del correo electrónico de la Agencia Mundial Antidopaje y muchos otros se cree que son obra de Sednit.

Este grupo tiene un conjunto diversificado de herramientas de malware en su arsenal, varios ejemplos los han documentado los investigadores de ESET en suwhite paper previo además de numerosos post en WeLiveSecurity. El descubrimiento del rootkit UEFI LoJax muestra que el grupo Sednit APT es incluso más avanzado y es más peligroso de lo que se pensaba, tal y como dice Jean-Ian Boutin, ESET Senior Malware Researcher, quien lideró la investigación de la reciente campaña de Sednit.

En cuanto a la atribución, ESET no realiza ninguna atribución geopolítica. Realizar la atribución de manera seria y científica es una tarea delicada que está fuera del alcance de los investigadores de seguridad de ESET. Lo que ESET denomina "el grupo Sednit" es solamente el conjunto de software y la infraestructura de red relacionada, sin ninguna correlación con una organización específica.

Mantente un paso por delante con ESET

WeLiveSecurity blog

El galardonado blog de seguridad de ESET tiene lo último sobre este y otros descubrimientos.

Tecnología ESET

Protección multicapa que combina machine learning, experiencia humana e inteligencia global de amenazas