LoJax, el primer rootkit UEFI detectado en un ciberataque

174

Investigadores de la ESET han descubierto un rootkit UEFI nombrado como LoJax, que fue creado por operadores de Sednit utilizando diferentes componentes de malware, sus objetivos fueron organizaciones gubernamentales en los Balcanes, Europa Centra y Este.

Al hablar de ciberataques, los rootkit son de UEFI son extremadamente peligroso, ya que ingresar sin ser detectados y puede sobrevivir a medidas de seguridad como la reinstalación del sistema operativo o reemplazo del disco rígido.

Hasta la fecha no se habían detectado algún rootkit UEFI, siendo sólo un tema tratado sólo en teoría. Sednit tuvo éxito al escribir un módulo UEFI malicioso dentro del sistema flash. El módulo es capaz de droppear y ejecutar malware en el disco durante el proceso de booteo. Debido a esto puede sobrevivir a medidas de seguridad mencionadas anteriormente, siendo la única opción hacer una limpieza UEFI, que implica la reinstalación del firmware.

Sednit ha sido involucrado en una gran cantidad de ataques en los últimos años, y está operativo desde el año 2004. El Departamento de Justicia de los Estados Unidos acusó al grupo como los principales involucrados del ataque al Comité Nacional Demócrata (DNC, siglas en inglés) que tuvo lugar antes de las elecciones de 2016 en los Estados Unidos. También vinculado al ataque a la red global TV5Mobile y las filtraciones de correos de la Agencia Mundial Antidopaje (WADA, siglas en inglés).

¿Cómo protegernos?

El rootkit UEFI no está debidamente firmado, por lo cual no puede saltarse el sistema Secure Boot. Si esta característica está habilitada, cada uno de los componentes firmware deben estar firmados apropiadamente, asegurando la integridad del firmware. Será importante de ahora en adelante no inhabilitar esta característica, ya que será el principal modo de defensa.

Deberás asegurarte de utilizar la última UEFI/BIOS en tu motherboard, además de no utilizar chipsets viejos ya que son lo más vulnerables, en particular utilizar aquellos que utilizan Platform Controller Hub (introducida en la Serie 5 de Intel en 2008).

La recuperación de un firmware UEFI comprometido no es una tarea sencilla, la reinstalación del firmware es un proceso delicado que deberá hacerse de forma manual. La memoria flash SPI deberá ser reinstalada con una imagen de firmware limpia y específica para el motherboard.


Por ahora es la primera vez que este ataque sale a la luz, por lo cual el grupo Sednit se mantendrá en el radar de los investigadores. Este grupo ha aprovechado vulnerabilidades como zero-day o Zebrocy (malware personalizado por ellos).

Aunque los blancos de ataque siguen siendo objetivos importantes (gobiernos y medios de comunicación) no hay que descartar que en algún momento el rootkit UEFI pueda llegar a más cibercriminales.

Fuente WeLiveSecurity

¡Necesitamos de tu ayuda!

Los ingresos por publicidad van cada vez más en picada, los sitios independientes como el nuestro son los más afectados. Nos hemos visto la necesidad de encontrar otras formas para continuar en funcionamiento.

Nuestro principal compromiso es el de mantener nuestro contenido libre e independiente, lo que significa que no existen publicaciones promocionadas, publicidad molesta ni tarifas de suscripción.

Si te gusta lo que hacemos y deseas apoyarnos, podrías considerar ser parte de nuestro Patreon:

Comentarios

Este sitio web utiliza cookies para mejorar su experiencia. Asumiremos que estás de acuerdo con esto, pero puedes optar por no hacerlo si lo deseas. AceptarLeer más