2018-10-02

SEGURANÇA

ESET descobre ciberataque de rootkit UEFI

A ESET detetou o primeiro caso de rootkits UEFI num ataque informático real. De acordo com o fabricante, operadores do grupo Sednit usaram diferentes componentes de malware que a ESET chamou de “Lojax” para atacar organizações governamentais nos Balcãs, bem como na Europa Central e Oriental

Os rootkits UEFI (ou Unified Extensible Firmware Interface) são conhecidos enquanto ferramentas perigosas de implementação de ciberataques, sendo difíceis de detetar e capazes de sobreviver a medidas de segurança como reinstalação do sistema operativo e até substituição de disco rígido. Até à deteção pela ESET, nenhum rootkit UEFI tinha sido avistado em situação real de ataque. Demonstrado em conferências da especialidade, em ambiente controlado, para apresentar os perigos do conceito, ficou agora provada a utilidade do software em campanhas maliciosas.

A campanha Sednit, que opera pelo menos desde 2004, tem feito manchetes nos últimos anos: julga-se que seja ela a responsável por ataques como o hacking ao Comité Nacional Democrata um pouco antes das eleições presidenciais nos Estados Unidos, em 2016. O grupo também é suspeito de estar por detrás do ataque informático à rede de televisão TV5Monde, do acesso não autorizado aos emails à World Anti-Doping Agency, entre outros.

De acordo com a ESET, este grupo foi bem-sucedido pelo menos uma vez na implementação de um módulo UEFI numa memória flash de um sistema SPI. Este módulo é capaz de enviar e executar malware no disco durante o processo de arranque.
Este método de persistência é particularmente invasivo, pois além de sobreviver à reinstalação do sistema operativo, também suporta a substituição de um disco rígido. Além disso, limpar o firmware UEFI de um sistema significa reinstalar a memória flash, um procedimento pouco usual e apenas à distância de utilizadores especializados.

Assim, o ESET UEFI Scanner possibilita que o mecanismo de verificação regular da ESET analise e imponha a segurança num ambiente de pré-inicialização. Na prática, o módulo foi desenvolvido para detetar componentes maliciosos no firmware e relatá-los ao utilizador, permitindo-lhe estar mais preparado para se defender.

Para mais informações sobre a análise da ESET acerca desta campanha, por favor consulte o whitepaper, ou o artigo completo no WeLiveSecurity (ambos em inglês).

Recomendado pelos leitores

Microsoft pode estar em incumprimento com o RGPD
SEGURANÇA

Microsoft pode estar em incumprimento com o RGPD

LER MAIS

WatchGuard apresenta previsões de segurança para 2019
SEGURANÇA

WatchGuard apresenta previsões de segurança para 2019

LER MAIS

Samsung Knox recebe certificação do Gabinete Nacional de Segurança
SEGURANÇA

Samsung Knox recebe certificação do Gabinete Nacional de Segurança

LER MAIS

IT CHANNEL Nº 53 Dezembro 2018

IT CHANNEL Nº 53 Dezembro 2018

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.