Investigadores revelan un importante hallazgo en materia de ciberseguridad, se trata de un rootkit malicioso basado en la UEFI que se utiliza desde 2016 para garantizar que los ordenadores sigan infectados, aunque se reinstale un sistema operativo o se sustituya completamente un disco duro. Resulta ser que no son tan raros, sólo que son difÃciles de encontrar.
El firmware compromete la UEFI, la cadena de firmware de bajo nivel y altamente opaca que se requiere para arrancar casi todos los ordenadores modernos. La UEFI (abreviatura de Unified Extensible Firmware Interface), el software que une el firmware de los dispositivos de una PC con su sistema operativo es un sistema operativo en sà mismo. Se encuentra en un chip de almacenamiento flash conectado por SPI y soldado a la placa base del ordenador, lo que hace difÃcil inspeccionar o parchear el código. Como es lo primero que se ejecuta cuando se enciende un ordenador, influye en el sistema operativo, las aplicaciones de seguridad y el resto del software que le sigue. Este lunes 26 de julio, investigadores de Kaspersky presentaron el perfil de CosmicStrand, el nombre de la empresa de seguridad para un sofisticado rootkit UEFI que la compañÃa detectó y obtuvo a través de su software antivirus. El hallazgo es uno de los pocos casos de amenazas UEFI de los que se tiene constancia. Hasta hace poco, los investigadores suponÃan que las exigencias técnicas necesarias para desarrollar un malware UEFI de este calibre lo ponÃan fuera del alcance de la mayorÃa de los actores de amenazas. Ahora, con Kaspersky atribuyendo CosmicStrand a un desconocido grupo de hackers de habla china con posibles vÃnculos con el malware de criptominerÃa, este tipo de malware podrÃa no ser tan raro después de todo.
"El aspecto más sorprendente de este informe es que este implante UEFI parece haber sido utilizado en la naturaleza desde finales de 2016 mucho antes de que los ataques UEFI comenzaran a ser descritos públicamente", escribieron los investigadores de Kaspersky. "Este descubrimiento plantea una última pregunta: Si esto es lo que los atacantes estaban usando en ese entonces, ¿qué están usando hoy?"
Mientras que los investigadores de la firma de seguridad compañera Qihoo360 informaron sobre una variante anterior del rootkit en 2017, Kaspersky y la mayorÃa de las otras firmas de seguridad con sede en Occidente no tomaron nota. La investigación más reciente de Kaspersky describe en detalle cómo el rootkit (encontrado en imágenes de firmware de algunas placas base Gigabyte o Asus) es capaz de secuestrar el proceso de arranque de las máquinas infectadas. Los fundamentos técnicos dan fe de la sofisticación del malware.
Un rootkit es una pieza de malware que se ejecuta en las regiones más profundas del sistema operativo que infecta. Aprovecha esta posición estratégica para ocultar información sobre su presencia al propio sistema operativo. Un bootkit, por su parte, es un malware que infecta el proceso de arranque de una máquina para persistir en el sistema. La UEFI, sucesora de la BIOS heredada, es un estándar técnico que define cómo pueden participar los componentes en el arranque de un sistema operativo. Es el más "reciente", ya que se introdujo alrededor de 2006. Hoy en dÃa, casi todos los dispositivos soportan UEFI cuando se trata del proceso de arranque. El punto clave aquà es que cuando decimos que algo tiene lugar en el nivel UEFI, significa que ocurre cuando el ordenador está arrancando, antes de que el sistema operativo haya sido cargado. Cualquiera que sea el estándar que se utilice durante ese proceso es sólo un detalle de implementación y en 2022, casi siempre será UEFI de todos modos.
En un correo electrónico, el investigador de Kaspersky Ivan Kwiatkowski escribió:
Asà que un rootkit puede o no ser un bootkit, dependiendo de dónde esté instalado en la máquina de la vÃctima. Un bootkit puede o no ser un rootkit, siempre que haya infectado un componente utilizado para el arranque del sistema (pero teniendo en cuenta el bajo nivel que suelen tener, los bootkits suelen ser rootkits). Y el firmware es uno de los componentes que pueden ser infectados por bootkits, pero también hay otros. CosmicStrand resulta ser todo esto al mismo tiempo: Tiene la capacidad de ser un rootkit sigiloso e infecta el proceso de arranque a través del parcheo malicioso de la imagen del firmware de las placas base.
El flujo de trabajo de CosmicStrand consiste en establecer "ganchos" en puntos cuidadosamente seleccionados del proceso de arranque. Los ganchos son modificaciones del flujo de ejecución normal. Suelen venir en forma de código adicional desarrollado por el atacante, pero en algunos casos, un usuario legÃtimo puede inyectar código antes o después de una función concreta para conseguir una nueva funcionalidad.
¿Cómo es el flujo de trabajo de CosmicStrand?
El firmware infectado inicial arranca toda la cadena.
El malware establece un gancho malicioso en el gestor de arranque, lo que le permite modificar el cargador del kernel de Windows antes de su ejecución.
Al manipular el cargador del sistema operativo, los atacantes son capaces de establecer otro gancho en una función del kernel de Windows.
Cuando esa función se llama posteriormente durante el procedimiento normal de arranque del SO, el malware toma el control del flujo de ejecución una última vez.
Despliega un shellcode en la memoria y se pone en contacto con el servidor C2 para recuperar la carga útil maliciosa real que se ejecutará en la máquina de la vÃctima.
Kaspersky cree que esta variante estuvo activa en 2020 y que una versión anterior se utilizó entre 2016 y mediados de 2017 y que ambas fueron escritas por desarrolladores de habla china. Los servidores de comando y control utilizados por ambas variantes utilizaban nombres de dominio que permanecÃan inactivos durante largos periodos de tiempo, durante los cuales el rootkit quedaba inoperativo. Los investigadores de la empresa creen que eso significa que, aunque CosmicStrand se diseñó para persistir permanentemente en los ordenadores, la explotación real de esas máquinas puede no haber durado más que unos pocos meses. Por otra parte, los investigadores dicen que es posible que los dominios se hayan reactivado periódicamente por perÃodos cortos.
Por su parte, Kaspersky detectó el rootkit en ordenadores de China, Vietnam, Irán y Rusia. Todas las vÃctimas utilizaban el producto gratuito de Kaspersky, lo que indica que los objetivos pueden ser particulares.
Hasta la fecha, los casos conocidos de malware UEFI son extremadamente limitados. El primero en salir a la luz fue LoJax, una versión maliciosamente modificada del producto antirrobo LoJack que fue utilizada por Fancy Bear, un grupo de hackers respaldado por el Kremlin. El malware, que fue utilizado alrededor de 2017, fue descubierto por la firma de seguridad ESET en 2018.