Il rootkit usato per mantenere la connessione con i computer è parte di una campagna gestita dal gruppo Sednit

LoJax

È stato recentemente scoperto un attacco informatico che, per la prima volta, utilizza un rootkit UEFI per mantenere la connessione con i computer target. Il rootkit, soprannominato LoJax, era parte di una campagna gestita dal gruppo Sednit, con diversi obiettivi di alto profilo in Europa centrale e orientale.

Sebbene, in teoria, si fosse a conoscenza dell’esistenza di rootkit UEFI, la scoperta dei ricercatori di ESET conferma che sono effettivamente utilizzati da un gruppo APT attivo. Quindi non sono più solo una potenziale minaccia, ma un vero e proprio pericolo.

I rootkit UEFI sono strumenti formidabili ed estremamente pericolosi per gli attacchi informatici. Servono a entrare dentro l’intero computer, sono difficili da rilevare e in grado di persistere anche a fronte di misure di sicurezza informatica drastiche come la reinstallazione del sistema operativo o persino alla sostituzione di un disco rigido. Inoltre, anche la pulizia di un sistema infettato da un rootkit UEFI richiede conoscenze ben al di là di quelle di un utente normale, come ad esempio il flashing del firmware.

Sednit, conosciuto anche come APT28, STRONTIUM, Sofacy o Fancy Bear, è uno dei gruppi APT più attivi ed è operativo almeno dal 2004. Presumibilmente sono da attribuirsi al gruppo Sednit, la violazione subita dal Democratic National Committee durante le elezioni americane del 2016, l’hacking dell’emittente televisiva TV5Monde, la fuga di email dall’Agenzia mondiale antidoping e molti altri attacchi.

Questo gruppo può vantare nel suo arsenale una gamma molta ampia di malware e diversi tra questi sono stati in più occasioni analizzati dai ricercatori ESET in molteplici documenti dedicati come anche in numerosi blogpost su WeLiveSecurity.

La scoperta del primo rootkit UEFI utilizzato in un attacco informatico deve servire da campanello di allarme per gli utenti e le aziende che spesso ignorano i rischi connessi alle modifiche del firmware.

Secondo i ricercatori di ESET ora sarà indispensabile effettuare il controllo periodico dei firmware nei normali processi di sicurezza. E’ vero che gli attacchi su UEFI sono estremamente rari e fino ad ora erano per lo più limitati alla manomissione fisica del computer di destinazione; tuttavia un tale attacco, se dovesse avere successo, permetterebbe il pieno controllo di un computer, con una persistenza pressoché totale.