sasha85ru | Imágenes de Getty
Por segunda vez en los anales de la ciberseguridad, los investigadores han encontrado malware del mundo real que acecha en UEFI, el firmware de bajo nivel y altamente opaco necesario para arrancar casi todas las computadoras modernas.
Como software que une el firmware del dispositivo de una PC con su sistema operativo, UEFI (abreviatura de Interfaz de firmware extensible unificada) es un sistema operativo por derecho propio. Está ubicado en un chip de almacenamiento flash conectado a SPI soldado a la placa base de la computadora, lo que dificulta la inspección o parcheo del código. Y es lo primero que se ejecuta cuando se enciende una computadora, lo que le permite influir o incluso controlar el sistema operativo, las aplicaciones de seguridad y todo el software que sigue.
Esas características hacen que UEFI sea el lugar perfecto para esconder malware, y eso es justo lo que ha hecho un grupo de ataque desconocido, según una nueva investigación presentada el lunes por la firma de seguridad Kaspersky Lab.
El año pasado, después de que la empresa con sede en Moscú integrara un nuevo escáner de firmware en sus productos antivirus, los investigadores recuperaron una imagen UEFI sospechosa de uno de sus usuarios. Después de más investigaciones, Kaspersky Lab descubrió que un usuario diferente había sido infectado por la misma imagen UEFI en 2023. Ambos usuarios infectados eran figuras diplomáticas ubicadas en Asia.
El nivel más alto de persistencia.
El análisis finalmente mostró que cada vez que se ejecutaba el firmware, verificaba si un archivo titulado IntelUpdate.exe estaba dentro de la carpeta de inicio de Windows. Si no fuera así, la imagen UEFI lo pondría allí. Resultó que IntelUpdate.exe era un engranaje pequeño pero importante en un marco grande y modular creado para el espionaje y la recopilación de datos. IntelUpdate.exe actuó como el primer eslabón de una larga cadena. Informaba a un servidor controlado por un atacante para descargar otro enlace, que a su vez descargaba otros enlaces, todos los cuales estaban personalizados para el perfil de la persona infectada.
La compañía de seguridad presenta los hallazgos en su conferencia Security Analyst Summit @Home. En una publicación de blog que acompaña al panel, los autores Mark Lechtik e Igor Kuznetsov escribieron:
Los ataques descritos en esta publicación de blog demuestran hasta dónde puede llegar un actor para obtener el más alto nivel de persistencia en una máquina víctima. Es muy poco común ver firmware UEFI comprometido en la naturaleza, generalmente debido a la baja visibilidad de los ataques al firmware, las medidas avanzadas requeridas para implementarlo en el chip flash SPI de un objetivo y las altas apuestas de quemar un conjunto de herramientas o activos sensibles al hacer asi que.
Con esto en mente, vemos que UEFI continúa siendo un punto de interés para los actores de APT, mientras que los proveedores de seguridad lo pasan por alto en general. La combinación de nuestra tecnología y la comprensión de las campañas actuales y pasadas que aprovechan el firmware infectado nos ayuda a monitorear e informar sobre futuros ataques contra dichos objetivos.
