La firma de seguridad informática ESET ha dado a conocer el descubrimiento de LoJax, el primer
rootkit para placas base con
UEFI usado "in the wild", es decir, fuera de condiciones de laboratorio y por parte de terceros. Esta revelación supone un hito, dado que la UEFI fue diseñada para brindar mayor seguridad que la clásica BIOS y, si bien el uso de
rootkits para placas UEFI ha sido investigado anteriormente, hasta ahora no se tenía constancia de su uso.
LoJax, que recibe su nombre por compartir código con LoJack, una herramienta diseñada para encontrar portátiles robados, fue descubierto por ESET cuando seguía los pasos del grupo de ciberespionaje
Sednit, también conocido como Fancy Bear o APT28. Su descubrimiento fue divulgado durante la conferencia 35C3.
La capacidad para inyectarse en la propia placa base resulta extraordinariamente problemática, puesto que con ello LoJax pueden sortear no solo las inspecciones del clásico antivirus, sino procesos mucho más drásticos como el formateo del disco duro. De esta forma el
rootkit adquiere dos de las características más temibles en cualquier
malware: discreción y persistencia. Y puesto que permanece en la placa, sustituir el disco duro no sirve de nada. Por contra, solo se consigue vulnerar otra unidad.
Según ESET, LoJax ha sido creado a partir de una versión vulnerable de LoJack lanzada en 2009 y que contenía varios fallos de seguridad importantes, incluyendo un módulo de configuración pobremente protegido. Utilizando este y otros bugs, Sednit/Fancy Bear logró personalizar esta herramienta cuyo despliegue comienza con un ataque por
phising o similar para "invitar" a la víctima a descargar un ejecutable que engaña a Internet Explorer para conectarse a un dominio preconfigurado y montar el
rootkit.
De acuerdo con los investigadores, LoJax ha sido identificado en varios ataques dirigidos a entidades en los Balcanes, Europa central y del este. Los interesados en conocer más acerca del funcionamiento de la herramienta pueden descargar la documentación (
PDF) publicada por ESET.
Fuente: ThreatPost