ESET identifica il primo rootkit UEFI usato in un attacco informatico

Rootkit UEFI – dalla teoria alla minaccia reale

UEFI rootkits image

I rootkit UEFI, il Santo Graal degli hacker, sono stati temuti a lungo ma non si sono mai manifestati fino a quando ESET non ha scoperto un'operazione del famigerato gruppo Sednit APT. Alcuni rootkit UEFI sono stati presentati alle conferenze sulla sicurezza come prove di concetto; si sa che alcuni sono a disposizione delle agenzie governative. Tuttavia, fino ad agosto 2018, nessun rootkit UEFI è mai stato rilevato in un reale attacco informatico.

La sopra citata operazione Sednit ha usato un rootkit UEFI che i ricercatori ESET hanno chiamato LoJax. L'analisi sull'operazione fatta da ESET è descritta in modo dettagliato nel white paper "LoJax: First UEFI rootkit found in the wild, courtesy of the Sednit group". Maggiori informazioni sulla sicurezza relativa all'UEFI sono disponibili sul blog ESET all'indirizzo WeLiveSecurity.

Rischi per la sicurezza di firmware, UEFI e rootkit

Il codice che viene eseguito all'avvio del computer e che ha il controllo sul sistema operativo (e quindi sull'intera macchina) è chiamato firmware. Lo standard di comportamento del firmware - pensalo come un insieme di regole - si chiama UEFI (il suo predecessore si chiamava BIOS). Firmware e UEFI solitamente sono collegati, si usa infatti parlare di firmware UEFI.

Un rootkit è un malware pericoloso progettato per ottenere accesso persistente e illegale al sistema. Solitamente un rootkit maschera la propria presenza o quella di altro malware.

Scopri di più

Un rootkit UEFI è un rootkit che si nasconde nel firmware, e ci sono due motivi per i quali questo tipo di rootkit è estremamente pericoloso. Per prima cosa, i rootkit UEFI sono molto persistenti, capaci di sopravvivere a un reboot del computer, ad una reinstallazione del sistema operativo e persino alla sostituzione dell'hard disk. In secondo luogo, sono difficili da rilevare perché solitamente non viene controllata l'integrità del codice del firmware. Le soluzioni di sicurezza ESET, contenendo un livello di protezione dedicato, l'ESET UEFI Scanner, costituiscono un'eccezione.

Firmware, UEFI, rootkits image

Un firmware UEFI malevolo costituisce un incubo per chiunque lavori nell'ambito della sicurezza IT, è molto dannoso e difficile da rilevare

Jean-Ian Boutin, Senior Malware Researcher presso ESET

Come ESET ti protegge dal firmware UEFI malevolo

ESET è l'unico tra i maggiori provider di sicurezza internet ad aggiungere un livello di protezione dedicato, l'ESET UEFI Scanner, progettato per rilevare le componenti malevole nel firmware.

ESET UEFI Scanner è uno strumento che rende possibile la scansione del firmware. Di conseguenza, il codice del firmware viene controllato dalle tecnologie di rilevamento malware. I clienti ESET possono scansionare il firmware del loro computer automaticamente o su richiesta. La maggior parte delle rilevazioni vengono contrassegnate come Applicazioni Potenzialmente Pericolose. Si tratta di codice che ha ampio potere sul sistema e che può essere impropriamente utilizzato. Lo stesso codice può essere considerato legittimo se l'amministratore è a conoscenza della sua presenza, malevolo se installato a sua insaputa.

Scopri di più

Naturalmente, non appena viene scoperto il primo cyber attacco da parte di un rootkit UEFI, i clienti ESET dotati di ESET UEFI Scanner sono in grado di rilevare le modifiche malevole e hanno la possibilità di difendersi.

La riparazione è fuori dalla portata di un utente comune. In linea di principio, installare un nuovo firmware è sempre d'aiuto. Se ciò non fosse possibile, l'unica alternativa sarebbe sostituire la scheda madre del computer.

FAQ

ESET è l'unico vendor di sicurezza per endpoint che protegge dai cyber attacchi mediante rootkit UEFI - è vero?

E' vero che ESET è l'unico vendor di soluzioni di sicurezza per endpoint i cui clienti possono avere il proprio firmware UEFI sotto controllo? Se è così, qual è il motivo per cui i competitor di ESET non dispongono di tale tecnologia?

Tra i migliori 20 vendor di soluzioni di sicurezza per endpoint, ESET è l'unico in grado di fornire ai propri utenti una tecnologia di scansione del firmware UEFI all'interno dei suoi prodotti di protezione. Anche se altri vendor hanno tecnologie il cui nome fa riferimento all'UEFI, queste hanno una funzione differente da quella che dovrebbe avere un vero scanner per il firmware.

Il fatto che ESET sia l'unico vendor del settore a fornire ai propri clienti la protezione del firmware UEFI, dimostra l'approccio responsabile di ESET nei confronti della sicurezza. Sì, gli attacchi veicolati dal firmware UEFI sono sporadici e fino ad oggi erano per lo più limitati alla manomissione fisica del computer di destinazione. Tuttavia, un tale attacco, se dovesse accadere, porterebbe al controllo totale della macchina, con una persistenza pressoché completa. ESET ha così deciso di investire le proprie risorse nella capacità di proteggere i propri clienti dagli attacchi tramite il firmware UEFI.

La recente scoperta di LoJax, il primo rootkit UEFI mai rilevato in un reale attacco ad un computer mostra che, sfortunatamente, i rootkit UEFI potrebbero diventare una costante negli attacchi informatici avanzati.

Fortunatamente, grazie a ESET UEFI Scanner, i nostri i clienti sono in una posizione di vantaggio nell'individuazione e nella difesa da questo tipo di attacchi.

Perché è importante controllare il firmware?

In breve, la scansione del firmware è il solo modo per individuarne le modifiche. Dal punto di vista della sicurezza, il firmware corrotto è estrememente pericoloso in quanto è difficile da rilevare e in grado di sopravvivere a misure di sicurezza come la reinstallazione del sistema operativo e persino la sostituzione dell'hard disk.

Il firmware potrebbe essere compromesso in fase di produzione del computer, o durante la sua spedizione, oppure tramite il reflash se un utente malintenzionato ottiene l'accesso fisico al dispositivo, ma anche, come dimostra la recente ricerca di ESET, attraverso un attacco malware sofisticato.

Come agisce ESET UEFI Scanner?

Di solito, il firmware non è accessibile alle soluzioni di sicurezza per la scansione e, di conseguenza, le soluzioni di sicurezza sono progettate esclusivamente per la scansione di unità a disco e di memoria. Per accedere al firmware, è necessario uno strumento (uno scanner) specializzato.

Lo "scanner UEFI" è un modulo delle soluzioni di sicurezza ESET la cui unica funzione è quella di leggere il contenuto del firmware UEFI e renderlo accessibile per l'ispezione. Pertanto, ESET UEFI Scanner consente al motore di scansione regolare di ESET di controllare e rafforzare la sicurezza dell'ambiente di preavvio.

In conclusione, le soluzioni di sicurezza ESET, con le loro funzionalità potenziate dalla tecnologia di scansione UEFI, sono state progettate per rilevare i componenti sospetti o dannosi nel firmware e segnalarli all'utente.

Come riparare il tuo firmware UEFI?

Una volta che un componente sospetto o malevolo è stato rilevato nel firmware, l'utente viene informato in modo da prendere i dovuti provvedimenti.

Potrebbe non esserci nulla di preoccupante nei rilevamenti: il componente sospetto può appartenere, per esempio, a una soluzione antifurto progettata per la miglior persistenza possibile nel sistema.

In altri casi, tuttavia, non vi è alcun motivo che legittima la presenza del componente non standard rilevato nel firmware, per cui devono essere intraprese azioni di riparazione.

Sfortunatamente, non ci sono modi semplici per pulire il sistema da una minaccia di questo tipo. In genere, il firmware deve essere ripristinato per rimuovere il componente dannoso. Se il reflashing dell'UEFI non può essere preso in considerazione, l'unica alternativa è cambiare la scheda madre del sistema infetto.

Come hanno fatto i ricercatori ESET a scoprire l'operazione nella quale è stato utilizzato il rootkit UEFI?

La scoperta di ESET è stata interamente e accuratamente descritta in un post e in un white paper pubblicati sul blog di sicurezza di ESET, WeLiveSecurity.

In breve, i ricercatori di ESET, guidati da Jean-Ian Boutin, ESET Senior Researcher, hanno svolto un grande lavoro di ricerca, unendo la loro profonda conoscenza del gruppo APT di Sednit, i dati di telemetria provenienti dai sistemi di rilevamento ESET e le informazioni fornite da una precedente scoperta fatta dai colleghi di Arbor Network. Il risultato è stata la scoperta di un nuovo set di strumenti per gli attacchi informatici, tra cui il primo rootkit UEFI in-the-wild.

Il gruppo Sednit APT – cos'è?

Il Sednit, operativo almeno dal 2004 e conosciuto anche come APT28, STRONTIUM, Sofacy e Fancy Bear, è uno dei gruppi di APT (Advanced Persistent Threat) più attivi. Gruppi come questi sono noti per attività di spionaggio informatico e per altri cyber attacchi su obiettivi di alto profilo.

L'attacco del Comitato Nazionale Democratico che ha inciso sulle elezioni degli Stati Uniti nel 2016, l'hacking della rete televisiva globale TV5Monde, la perdita di email dell'agenzia mondiale antidoping e molte altre operazioni sono state attribuite al ​​lavoro di Sednit.

Questo gruppo ha un insieme diversificato di strumenti malware nel suo arsenale, diversi esempi dei quali sono stati documentati dai ricercatori ESET nel loro precedente white paper e in numerosi post sul blog WeLiveSecurity.
Secondo Jean-Ian Boutin, ESET Senior Malware Researcher che ha guidato la ricerca sulla recente operazione di Sednit, la scoperta del rootkit UEFI LoJax mostra che il gruppo Sednit APT è ancora più avanzato e pericoloso di quanto si pensasse in precedenza,

ESET si astiene da qualunque ipotesi in termini di attribuzione delle responsabilità. L'individuazione seria e provata delle responsabilità è un compito delicato che esula dai compiti dei ricercatori di sicurezza ESET. Ciò che i ricercatori ESET chiamano "il gruppo Sednit" è semplicemente un insieme di software e la relativa infrastruttura di rete, senza alcuna correlazione con nessuna organizzazione specifica.

Stai un passo avanti con ESET

ESET Technology icon

ESET Tecnologia

Protezione multilivello abbinata a machine learning, competenza e Global Threat Intelligence