Malwares que infectam firmware via UEFI (que muita gente ainda chama de BIOS) são arma já conhecida, mas presentes, no máximo, em algumas palestras de segurança e nas bibliotecas de maldades de alguns governos. Mas agora um deles foi encontrado na Internet pelos pesquisadores da ESET: é o Lojax, que está numa campanha do grupo Sednit, associado pelos pesquisadores à agência de espionagem russa GRU. Diferentes módulos do LoJax atingiram organizações governamentais na Europa Central e do Leste.
Um malware desse tipo é terrível porque é difícil de detectar e resiste inclusive às trocas de disco, simplesmente porque está em outra memória – fica gravado no firmware. O pessoal da ESET considera esse achado notável por duas razões:
- Isso prova que os rootkits UEFI são reais e não só tópicos atraentes de palestras de segurança; e
- Serve de alerta para todos aqueles que podem estar na mira do Sednit, grupo de Advanced Persistent Threat também conhecido como APT28, STRONTIUM, Sofacy e Fancy Bear,. Ele pode ser ainda mais perigoso do que se pensava anteriormente, considera o pessoal da ESET.
O estudo da ESET mostrou que o grupo conseguiu gravar um módulo UEFI malicioso na memória flash de um sistema. O módulo é capaz de baixar e executar malware no disco durante o boot. O método não só sobreviverá a uma reinstalação do sistema operacional como, também, a uma substituição do HD. Para piorar, Além disso, um usuário típico de computador jamais atualiza UEFI.
Existe um software chamado LoJack, que vem gravado em UEFI, e é um software anti-roubo. Quando ativado, ele informa ao seu servidor de comando e controle onde se encontra e seu proprietário é notificado da localização em caso de perda ou roubo.
O primeiro mecanismo de segurança que pode ser acionado para bloquear esse ataque é o Boot Seguro. Quando a o Boot Seguro está habilitado, todo e qualquer componente do firmware precisa estar digitalmente assinado, garantindo a integridade do firmware. Essa é a defesa básica contra ataques direcionados ao firmware UEFI e pode ser ativada na inicialização por meio das configurações UEFI do sistema.
