2018-10-02
A ESET detetou o primeiro caso de rootkits UEFI num ataque informático real. De acordo com o fabricante, operadores do grupo Sednit usaram diferentes componentes de malware que a ESET chamou de “Lojax” para atacar organizações governamentais nos Balcãs, bem como na Europa Central e Oriental
|
Os rootkits UEFI (ou Unified Extensible Firmware Interface) são conhecidos enquanto ferramentas perigosas de implementação de ciberataques, sendo difíceis de detetar e capazes de sobreviver a medidas de segurança como reinstalação do sistema operativo e até substituição de disco rígido. Até à deteção pela ESET, nenhum rootkit UEFI tinha sido avistado em situação real de ataque. Demonstrado em conferências da especialidade, em ambiente controlado, para apresentar os perigos do conceito, ficou agora provada a utilidade do software em campanhas maliciosas. A campanha Sednit, que opera pelo menos desde 2004, tem feito manchetes nos últimos anos: julga-se que seja ela a responsável por ataques como o hacking ao Comité Nacional Democrata um pouco antes das eleições presidenciais nos Estados Unidos, em 2016. O grupo também é suspeito de estar por detrás do ataque informático à rede de televisão TV5Monde, do acesso não autorizado aos emails à World Anti-Doping Agency, entre outros. De acordo com a ESET, este grupo foi bem-sucedido pelo menos uma vez na implementação de um módulo UEFI numa memória flash de um sistema SPI. Este módulo é capaz de enviar e executar malware no disco durante o processo de arranque. Assim, o ESET UEFI Scanner possibilita que o mecanismo de verificação regular da ESET analise e imponha a segurança num ambiente de pré-inicialização. Na prática, o módulo foi desenvolvido para detetar componentes maliciosos no firmware e relatá-los ao utilizador, permitindo-lhe estar mais preparado para se defender. |
