Lojax il primo malware UEFI. Se ti infetta non basta formattare !

8 Ottobre 20187 Dicembre 2022 Giovanni Popolizio hacking, Lojax, Lojax UEFI rootkit, networking, Scurezzainformatica

Lojax

Ed ora abbiamo un “rootkit”, attivo almeno dall’inizio del 2017 , che è in grado di sopravvivere alla reinstallazione del sistema operativo o addirittura alla sostituzione del disco rigido.

“Ci erano sono state una serie di preoccupazioni sulla sicurezza riguardo al potenziale dell’UEFI come nascondiglio per rootkit e altro malware, incluse quelle sollevate da Dick Wilkins e Jim Mortensen dello sviluppatore di firmware Phoenix Technologies in una presentazione all’UEFI Plugfest dello scorso anno. “Il firmware è un software ed è quindi vulnerabile alle stesse minacce che tipicamente colpiscono il software”, hanno spiegato. L’UEFI è essenzialmente un sistema operativo leggero a sé stante, il che lo rende un posto comodo per mettere rootkit per coloro che possono gestirlo.”

I ricercatori ESET: “sono stati trovati strumenti con la capacità di leggere il firmware UEFI del sistema, e in un caso, questo strumento è stato in grado di scaricare, applicare patch e sovrascrivere parte della memoria flash SPI del sistema. L’obiettivo finale di questo strumento era quello di installare un modulo UEFI dannoso su un sistema le cui protezioni di memoria flash SPI erano vulnerabili o mal configurate”.

Il 1° maggio, Arbor Networks ha riportato la scoperta di campioni “troiani” delle piccole versioni agente LoJack modificate per comunicare con i server sospettati di essere collegati alle attività di Fancy Bear. I domini utilizzati dal malware sono stati gli stessi utilizzati nel 2017 per un’altra backdoor nota come SedUploader. Le differenze tra il legittimo client LoJack e il client maligno erano così piccole – nelle decine di byte, secondo i ricercatori ESET – da non essere in gran parte rilevate come malware.

Lojax UEFI rootkit

Tutto ciò è abbastanza bello e sicuramente fattibile. Come ? L’attaccante dovrebbe fare un aggiornamento firmware del sistema hardware. O tramite un software “mirato” per quella specifica motherboard o il computer deve entrare fisicamente in possesso dell’attaccante che può effettuare l’upgrade del codice maligno.

A mio modestissimo avviso, il 99,999999999 % degli utenti possono stare tranquilli. Questa percentuale si basa sulle informazioni ad oggi trapelate e circolate. Se invece le metodiche di attacco fossero diverse , tutto il discorso cambierebbe.

Ricordo che, secondo l’ESET, dovrebbe essere stato il famigerato gruppo russo di hacking conosciuto come ‘Fancy Bear’ che ha creato e usato il malware rootkit per hackerare e controllare i sistemi appartenenti a enti governativi.