Atualização grava malware na BIOS

Malwares que infectam firmware via UEFI (que muita gente ainda chama de BIOS) são arma já conhecida, mas presentes, no máximo, em algumas palestras de segurança e nas bibliotecas de maldades de alguns governos. Mas agora um deles foi encontrado na Internet pelos pesquisadores da ESET: é o Lojax, que está numa campanha do grupo Sednit, associado pelos pesquisadores à agência de espionagem russa GRU. Diferentes módulos do LoJax atingiram organizações governamentais na Europa Central e do Leste.

Um malware desse tipo é terrível porque é difícil de detectar e resiste inclusive às trocas de disco, simplesmente porque está em outra memória – fica gravado no firmware. O pessoal da ESET considera esse achado notável por duas razões:

  1. Isso prova que os rootkits UEFI são reais e não só tópicos atraentes de palestras de segurança; e
  2. Serve de alerta para todos aqueles que podem estar na mira do Sednit, grupo de Advanced Persistent Threat também conhecido como APT28, STRONTIUM, Sofacy e Fancy Bear,. Ele pode ser ainda mais perigoso do que se pensava anteriormente, considera o pessoal da ESET.

O estudo da ESET mostrou que o grupo conseguiu gravar um módulo UEFI malicioso na memória flash de um sistema. O módulo é capaz de baixar e executar malware no disco durante o boot. O método não só sobreviverá a uma reinstalação do sistema operacional como, também, a uma substituição do HD. Para piorar, Além disso, um usuário típico de computador jamais atualiza UEFI.

Existe um software chamado LoJack, que vem gravado em UEFI, e é um software anti-roubo. Quando ativado, ele informa ao seu servidor de comando e controle onde se encontra e seu proprietário é notificado da localização em caso de perda ou roubo.

O primeiro mecanismo de segurança que pode ser acionado para bloquear esse ataque é o Boot Seguro. Quando a o Boot Seguro está habilitado, todo e qualquer componente do firmware precisa estar digitalmente assinado, garantindo a integridade do firmware. Essa é a defesa básica contra ataques direcionados ao firmware UEFI e pode ser ativada na inicialização por meio das configurações UEFI do sistema.

Compartilhe
Compartilhar no email
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no linkedin
Compartilhar no whatsapp