ESET descubre el primer ciberataque rootkit UEFI

¿Es cierto que ESET es el único proveedor de soluciones de seguridad endpoint cuyos clientes pueden analizar el firmware UEFI en busca de componentes maliciosos? Si es así, ¿por qué otros competidores de ESET no tienen esta tecnología?

ESET es el único proveedor del Top 20 de proveedores de soluciones de seguridad endpoint por ingresos que proporciona a sus clientes una tecnología de análisis UEFI implementada en sus soluciones de protección de equipos. Mientras que otros proveedores pueden tener tecnologías con "UEFI" en su título, su propósito es diferente al de la función que un auténtico escáner de firmware debería realizar.

Como ESET es el único proveedor en su campo que protege el firmware UEFI de sus clientes, esto ilustra el enfoque responsable de ESET por la protección. Sí, los ataques facilitados por el firmware UEFI son esporádicos, y hasta ahora, se limitaban principalmente a la manipulación física del ordenador objetivo. Sin embargo, un ataque como este, si prospera, daría el control total del equipo, con una persistencia casi completa. Así que ESET tomó la decisión de invertir sus recursos en la capacidad de proteger a sus clientes de los ataques facilitados por el firmware UEFI.

El reciente descubrimiento de LoJax, el primer rootkit UEFI detectado en un ataque real a un ordenador demuestra que, por desgracia, los rootkits UEFI se pueden convertir en una parte regular de ataques avanzados a equipos.

Afortunadamente, gracias a ESET UEFI Scanner, nuestros clientes están en una posición excelente para detectar estos ataques y defenderse de ellos.

Para abreviar, analizar el firmware es la única manera de detectar modificaciones en él. Desde el punto de vista de la seguridad, el firmware corrupto del ordenador es extremadamente peligroso al ser difícil detectar y capaz de sobrevivir a métodos de seguridad como a la reinstalación del sistema operativo, e incluso al reemplazo del disco duro.

El fimware se podría comprometer en el estado de fabricación del ordenador, o durante su envío, o mediante la actualización del firmware si el atacante consigue acceso físico al dispositivo, pero también, tal y como muestra la reciente investigación de ESET, mediante un ataque de malware sofisticado.

Normalmente, el firmware no es accesible para el análisis de las soluciones de seguridad y por lo tanto, esta soluciones se diseñan para que solo analicen discos duros y memoria. Para acceder al firmware se necesita una herramienta especializada.

El “UEFI scanner” es un módulo de las soluciones de seguridad ESET cuya única función es leer el contenido del firmware UEFI y hacerlo accesible para su inspección. Así, ESET UEFI Scanner hace posible que el motor de análisis normal de ESET compruebe y refuerce la seguridad del entorno preinicio.

En resumen, las soluciones de seguridad ESET, con capacidades apoyadas en la tecnología de análisis UEFI, están diseñadas para detectar componentes maliciosos o sospechosos en el firmware e informar de ello al usuario.

Cuando se detecta un componente sospechoso o malicioso en el firmware, se notifica al usuario para que pueda tomar las medidas correctas.

Bajo un escenario, no hay nada malo con las detecciones. El componente malicioso puede pertenecer, por ejemplo, a una solución antirrobo diseñada para mantenerse al máximo en el sistema.

En otro escenario, sin embargo, no hay ninguna razón legítima para el descubrimiento de la presencia del componente no estándar en el firmware. En ese caso, se deben tomar acciones para remediarlo.

Por desgracia, no existen soluciones fáciles para limpiar el sistema de estas amenazas. En principio, el firmware necesita ser recargado de nuevo para eliminar el componente malicioso. Si recargar el UEFI no es una opción, la única alternativa es cambiar la placa base del sistema infectado.

El descubrimiento de ESET está totalmente descrito de forma exhaustiva en unpost y un white paper publicados en el blog deseguridad de ESET, WeLiveSecurity.

En resumen, los investigadores de ESET, dirigidos por Jean-Ian Boutin, ESET Senior Researcher, realizaron un gran trabajo de investigación, combinando su profundo conocimiento del grupo Sednit APT, los datos telemétricos de los sistemas de detección de ESET y un descubrimiento previo de sus colegas en Arbor Network. Como resultado, han descubierto todo un nuevo conjunto de herramientas para ciberataques, incluyendo el primer rootkit UEFI.

Sednit, que opera desde al menos 2004 y también conocido como APT28, STRONTIUM, Sofacy y Fancy Bear, es uno de los grupos APT (Advanced Persistent Threat) más activos. Se sabe que dichos grupos realizan espionaje cibernético y otros ciberataques a objetivos de alto perfil.

El pirateo del Comité Nacional Demócrata que afectó a las elecciones de 2016 en Estados Unidos, el hackeo de la cadena de televisión TV5Monde, el filtrado del correo electrónico de la Agencia Mundial Antidopaje y muchos otros se cree que son obra de Sednit.

Este grupo tiene un conjunto diversificado de herramientas de malware en su arsenal, varios ejemplos los han documentado los investigadores de ESET en suwhite paper previo además de numerosos post en WeLiveSecurity. El descubrimiento del rootkit UEFI LoJax muestra que el grupo Sednit APT es incluso más avanzado y es más peligroso de lo que se pensaba, tal y como dice Jean-Ian Boutin, ESET Senior Malware Researcher, quien lideró la investigación de la reciente campaña de Sednit.

En cuanto a la atribución, ESET no realiza ninguna atribución geopolítica. Realizar la atribución de manera seria y científica es una tarea delicada que está fuera del alcance de los investigadores de seguridad de ESET. Lo que ESET denomina "el grupo Sednit" es solamente el conjunto de software y la infraestructura de red relacionada, sin ninguna correlación con una organización específica.