ESET descobre o primeiro ataque cibernético de rootkit UEFI

É verdade que a ESET é o único fornecedor de soluções de segurança para endpoint cujos clientes podem ter o seu firmware UEFI analisado à procura de componentes mal-intencionados? Em caso afirmativo, qual é a razão para os concorrentes da ESET não terem essa tecnologia?

A ESET é o único fabricante entre os 20 principais fornecedores de soluções de segurança para endpoints que disponibiliza aos seus utilizadores uma tecnologia de análise UEFI implementada nas suas soluções de proteção de endpoints. Embora outros fabricantes possam ter algumas tecnologias com “UEFI” no título, a sua finalidade é diferente das funções que um sistema de análise de firmware autêntico deve executar.

Quanto ao motivo pelo qual a ESET é o único fornecedor na sua área a proteger o firmware UEFI dos seus clientes, isto ilustra a abordagem responsável da ESET em relação à proteção. Sim, os ataques facilitados pelo firmware UEFI são esporádicos e, até o momento, eram limitados, principalmente no que diz respeito à violação física do computador de destino. No entanto, tal ataque, se bem sucedido, leva ao controlo total da máquina, com uma persistência quase total. Por isso, a ESET tomou a decisão de investir na capacidade de proteger os seus clientes contra ataques facilitados por firmware UEFI.

A recente descoberta do LoJax, o primeiro rootkit UEFI detectado num ataque real, mostra que, infelizmente, os rootkits UEFI podem tornar-se mais frequentes no campo dos ataques avançados ao computador.

Felizmente, graças ao ESET UEFI Scanner, os nossos clientes estão numa excelente posição para detetarem esses ataques e se defenderem contra eles.

Em suma, a análise de firmware é a única forma de se detetar modificações no mesmo. Do ponto de vista da segurança, o firmware corrompido é extremamente perigoso, pois é difícil de detectar e capaz de sobreviver a medidas de segurança, como a reinstalação do sistema operativo e até mesmo a substituição de um disco rígido.

O firmware pode ficar comprometido na altura de fabrico de um computador, ou durante o envio, ou através de uma atualização de firmware, se o invasor obtiver acesso físico ao dispositivo, mas também, como mostra a recente investigação da ESET, através de um sofisticado ataque de malware.

Normalmente, o firmware não está disponível para análise por soluções de segurança e como resultado, as soluções antivírus apenas efetuam a análise de unidades de disco e memória. Para aceder ao firmware, é necessária uma ferramenta especializada - um scanner -.

O “UEFI scanner” é um módulo nas soluções de segurança ESET cuja única função é ler o conteúdo do firmware UEFI e torná-lo acessível para inspeção. Assim, o ESET UEFI Scanner possibilita que o mecanismo de verificação regular da ESET analise e imponha a segurança num ambiente de pré-inicialização.

Em suma, as soluções de segurança da ESET, com funcionalidades melhoradas pela tecnologia de verificação da UEFI, foram desenvolvidas para detetar componentes suspeitos ou mal-intencionados no firmware e reportá-los ao utilizador.

Assim que um componente suspeito ou mal-intencionado é detectado no firmware, o utilizador é notificado para que possa executar as etapas corretas.

Num determinado cenário, não há qualquer problema com as deteções - o componente suspeito pode pertencer, por exemplo, a uma solução antiroubo desenvolvida para a máxima persistência possível no sistema.

Noutro cenário, no entanto, não há motivo legítimo para a presença do componente estranho descoberto no firmware. Nesse caso, ações de correção devem ser tomadas.

Infelizmente, não há maneiras fáceis de limpar o sistema de tal ameaça. Normalmente, o firmware necessita de volta a ser aplicado para remover o componente malicioso. Se tornar a aplicar o UEFI não é uma opção, a única alternativa é mudar a motherboard do sistema infectado.

A descoberta da ESET está relatada de forma completa neste artigo e no white paper publicado no blog WeLiveSecurity.

Resumidamente, os investigadores da ESET, liderados por Jean-Ian Boutin, analista sénior da ESET, fizeram um excelente trabalho de investigação. Nele combinaram o seu profundo conhecimento acerca do grupo Sednit APT, dados de telemetria dos sistemas de detcção da ESET e uma descoberta anterior dos seus colegas na Rede Arbor. Como resultado, descobriram um novo conjunto de ferramentas para ataques informáticos, incluindo o primeiro rootkit in-the-wild UEFI.

O grupo Sednit, que funciona pelo menos desde 2004 e é também conhecido como APT28, STRONTIUM, Sofacy e Fancy Bear, é um dos grupos mais ativos do APT (Ameaças Avançadas Persistentes). Estes grupos são conhecidos por espionagem informática e outros ataques cibernéticos a alvos de alto gabarito.

Acredita-se que o hack do Comité Nacional Democrata que afetou as eleições de 2016 nos Estados Unidos, a invasão da rede de TV global TV5Monde, a fuga de e-mails da Agência Mundial Antidoping, sejam resultado do trabalho do grupo Sednit.

Este grupo tem um conjunto diversificado de ferramentas de malware no seu arsenal, sendo que os investigadores documentaram diversos num whitepaper anterior bem como em diversos artigos no WeLiveSecurity. A descoberta do rootkit LoJax UEFI mostra que este grupo ATP Sednit está ainda mais avançado e perigoso do que se pensava. Quem o afirma é Jean-Ian Boutin, Investigador Sénior de Malware da ESET que conduziu a investigação referente à mais recente campanha do Sednit.

Quanto à atribuição, a ESET não aposta em nenhuma atribuição geopolítica. Realizar a atribuição de uma forma séria e científica é uma tarefa delicada que está além do alcance dos investigadores de segurança da ESET. O que os investigadores da ESET chamam de “o grupo Sednit” é meramente um conjunto de software e uma infra-estrutura de rede relacionada, sem qualquer ligação com qualquer organização específica.