Home > Informatica > Attacchi UEFI: la nuova frontiera della criminalità informatica è ora realtà

Attacchi UEFI: la nuova frontiera della criminalità informatica è ora realtà

articolo pubblicato da: Elygiuliano | segnala un abuso

Attacchi UEFI: la nuova frontiera della criminalità informatica è ora realtà

Con il passare del tempo, la conoscenza dei termini informatici è cresciuta sia tra il grande pubblico sia tra le imprese. Ciò ha portato anche a una crescente consapevolezza delle minacce tecnologiche. Malware, ransomware, criptomining e minacce persistenti avanzate sono entrate nella nostra coscienza collettiva, se non addirittura come termini di uso comune. Tuttavia, vi sono minacce che non sono così popolari e di cui solo i più informati sono consapevoli.

Introduzione ai rootkit e UEFI

Nel 2007, in seguito all’accordo tra Intel, AMD e Microsoft, nonché ai produttori di PC su una necessità di superare i limiti del sistema BIOS (Basic Input / Output System) e in vista dell’implementazione di sistemi operativi a 64 bit, nasce l’UEFI (Unified Extensible Firmware Interface). Questa scelta fu in gran parte dettata dalla necessità di migliorare le prestazioni e la sicurezza dei processi di avvio del PC.

Oltre a seguire da vicino la transizione dal BIOS all’UEFI per tutto il 2007, ESET si unì pubblicamente alla discussione sulla sicurezza e nel 2012 ha ipotizzato che il nuovo sistema di avvio potesse diventare un vettore di minacce concrete. Nello specifico, le preoccupazioni si sono concentrate sulla potenziale distribuzione di strumenti che potrebbero (come con BIOS) alterare o manipolare un PC durante la sua sequenza di avvio. Negli anni successivi, molti nel settore e probabilmente anche tantissimi criminali informatici si sono interrogati sulle modalità per sviluppare dei rootkit specifici in grado di sfruttare questo canale di infezione. Ma fino a poco tempo fa questi intenti rimasero solo ipotetici.

Tuttavia, “Visto tutto l’interesse nel poter sfruttare la sequenza di avvio di un PC per attaccarlo, abbiamo deciso di concentrarci sull’identificare tutte le minacce in grado di sfruttare questa fase” come affermato da Roman Kovac, Chief Research Officer di ESET. Mentre molti esperti di sicurezza informatica in tutto il mondo si occupavano di monitorare i rootkit, inclusi quelli UEFI, ESET ha deciso di creare una nuova funzionalità da integrare nella propria tecnologia che fosse in grado di rilevare le modifiche del firmware.

Una complicazione con la scansione UEFI è che ci sono molti motivi legittimi per la sua modifica. Purtroppo però molti degli stessi vettori che consentono questo tipo di modifiche come la diagnostica o la manutenzione remota, possono anche essere utilizzati in modo scorretto per sfruttare delle vulnerabilità. Tra i metodi studiati sicuramente quello di intervenire fisicamente sulla macchina era finora il più probabile, pensiamo per esempio a un dipendente scontento o a un intruso che modifica il firmware delle macchine di un’azienda allo scopo di danneggiarla.

Un’altra opzione, l’ultima scoperta in ordine di tempo e che maggiormente ci interessa, è un attacco remoto che utilizzi un malware e vari altri strumenti per modificare il firmware.

ESET è l’unico fornitore tra i Top 20 a fornire questo livello di protezione in grado di bloccare un simile attacco, ma questa scelta è stata possibile soltanto allontanandosi dai classici paradigmi della sicurezza informatica. Questa decisione ha richiesto enormi sforzi nella ricerca e sviluppo per implementare l’ESET UEFI Scanner già a partire dal 2017 e aggiungendo così la possibilità di eseguire la scansione del firmware di un computer alla tecnologia multilivello presente nelle nostre soluzioni aziendali e consumer.

Il mito diventa realtà – Sednit trasforma il software antifurto in un APT.

Tra i criminali informatici, le cybergang e le minacce malware che ESET e l’industria in generale hanno tracciato, il gruppo Sednit noto anche come Fancy Bears è sicuramente un “sorvegliato speciale”.

Sospettato di celarsi dietro molti attacchi di alto profilo in ambito politico, giornalistico e persino sportivo, Sednit vanta nel suo arsenale un insieme diversificato di potenti strumenti malware.

Nel documento “En Route with Sednit” divulgato nell’ottobre 2016, ESET ha precorso i tempi discutendo le prolifiche capacità del gruppo. Da allora abbiamo raccolto un ampio set di indizi rintracciando gli strumenti utilizzati dal gruppo.

A maggio, i membri della più ampia comunità di cyber security hanno descritto come il codice del file eseguibile di LoJack di Absolute Software, una soluzione legittima per il recupero di laptop, fosse stato infettato con un Trojan. Ora i ricercatori ESET hanno dimostrato che dietro questa infezione vi sia proprio il gruppo Sednit, noto anche come FancyBears.

Campioni malevoli mostrano le comunicazioni con un server di comando e controllo (C & C) compromesso invece del server legittimo di Absolute Software, che alterano le impostazioni di configurazione hardcoded del prodotto originale. Tra gli altri indizi troviamo l’uso dei domini C & C per la famigerata backdoor di primo livello, SedUploader, registrato per la prima volta nel 2017.

A causa di queste connessioni i ricercatori di ESET hanno iniziato a riferirsi all’utilizzo malevolo della campagna del software legittimo, come LoJax.

Cosa significa questo assalto al sistema UEFI per gli utenti?

Senza esagerare, il fatto che il malware che si sta infiltrando con successo nell’UEFI sia stato trovato in-the-wild è motivo di seria preoccupazione. Dal momento che l’hacking UEFI migliora la persistenza del malware ed è quasi non identificabile dai tradizionali metodi di scansione delle classiche soluzioni di sicurezza informatica, gli hacker sono alla ricerca di modi per ottenere l’accesso, aumentare i privilegi degli utenti e scrivere direttamente sull’interfaccia UEFI, ovvero parte della memoria flash che contiene il codice attendibile per avviare il computer.

ESET | UEFI |



Commenta l'articolo

 

Potrebbe anche interessarti

I ricercatori ESET scoprono LoJax, il primo rootkit UEFI usato in un attacco informatico


Acronis True Image 2020 automatizza i backup 3-2-1 come l’unica soluzione personale per la replica dei backup locali nel cloud


Attacchi di panico: cosa sono?


Acronis avverte: sarà l'anno peggiore per numero di attacchi informatici e incidenti con perdita di dati


Cyberspazio: rapporti tesi tra le grandi potenze mondiali


Attacchi web: la “guida alla sopravvivenza” di Imperva


 

Se ritieni meritevole il nostro lavoro fai una donazione


Recenti

Stesso autore

Future Time e Avast insieme per un nuovo approccio alla cybersecurity sul mercato italiano

Future Time e Avast insieme per un nuovo approccio alla cybersecurity  sul mercato italiano
Future Time, azienda romana attiva dal 2001 nella distribuzione di soluzioni per la sicurezza informatica, annuncia la partnership con Avast, una delle più grandi realtà al mondo ad offrire tecnologie di cybersecurity di nuova generazione per contrastare gli attacchi informatici in tempo reale. Future Time ha scelto di collaborare con Avast perché crede nell’approccio (continua)

ESET presenta ESET Full Disk Encryption, la soluzione di crittografia che protegge i dati sia nel mondo reale che in quello digitale

ESET presenta ESET Full Disk Encryption, la soluzione di crittografia che protegge i dati sia nel mondo reale che in quello digitale
ESET, il più grande produttore di software per la sicurezza digitale dell’Unione europea, ha annunciato il lancio di ESET Full Disk Encryption (EFDE), una soluzione progettata per proteggere l'accesso non autorizzato ai dati aziendali. Disponibile come componente aggiuntivo delle console ESET di gestione remota - ESET Cloud Administrator e ESET Security Management Center - EFDE &egr (continua)

Scopriamo qual è il ruolo di ESET nella collaborazione con Google: The App Defense Alliance

Scopriamo qual è il ruolo di ESET nella collaborazione con Google: The App Defense Alliance
Mercoledì 6 novembre ESET ha annunciato di aver aderito all’App Defense Alliance. A partire da oggi, ESET collaborerà fornendo informazioni che renderanno le applicazioni mobile sul Google Play Store più sicure. Perché questa partnership è importante e cosa significa per gli utenti? Come funziona ESET integrerà il proprio pluripremiato motore di (continua)

ESET scopre Attor, una piattaforma spia con curiose impronte digitali GSM

ESET scopre Attor, una piattaforma spia con curiose impronte digitali GSM
I ricercatori di ESET hanno scoperto una nuova piattaforma di spionaggio con un’architettura complessa, una serie di misure per rendere più difficili il rilevamento e l’analisi, e due innovative caratteristiche. Innanzitutto, un plug-in GSM che utilizza il protocollo di comando AT e, in secondo luogo, sfrutta Tor per le comunicazioni di rete. Gli esperti hanno così chia (continua)

ESET presenta la nuova linea di soluzioni di sicurezza per gli utenti privati

ESET presenta la nuova linea di soluzioni di sicurezza per gli utenti privati
ESET, il più grande produttore di software per la sicurezza digitale dell’Unione europea, presenta oggi la nuova versione di ESET NOD32 Antivirus, ESET Internet Security e ESET Smart Security Premium, che puntano ad offrire varie possibilità di integrazione multipiattaforma, un sistema di apprendimento automatico avanzato, un gestore di password migliorato e un’avanzata (continua)