Cerca nel blog

lunedì 8 ottobre 2018

Attacchi UEFI: la nuova frontiera della criminalità informatica è ora realtà

UEFI e Rootkit entrano di diritto tra le APT pubblicamente riconosciute

 

Roma, 8 ottobre 2018 – Con il passare del tempo, la conoscenza dei termini informatici è cresciuta sia tra il grande pubblico sia tra le imprese. Ciò ha portato anche a una crescente consapevolezza delle minacce tecnologiche. Malware, ransomware, criptomining e minacce persistenti avanzate sono entrate nella nostra coscienza collettiva, se non addirittura come termini di uso comune. Tuttavia, vi sono minacce che non sono così popolari e di cui solo i più informati sono consapevoli.

Introduzione ai rootkit e UEFI

Nel 2007, in seguito all'accordo tra Intel, AMD e Microsoft, nonché ai produttori di PC su una necessità di superare i limiti del sistema BIOS (Basic Input / Output System) e in vista dell'implementazione di sistemi operativi a 64 bit, nasce l'UEFI (Unified Extensible Firmware Interface). Questa scelta fu in gran parte dettata dalla necessità di migliorare le prestazioni e la sicurezza dei processi di avvio del PC.

Oltre a seguire da vicino la transizione dal BIOS all'UEFI per tutto il 2007, ESET si unì pubblicamente alla discussione sulla sicurezza e nel 2012 ha ipotizzato che il nuovo sistema di avvio potesse diventare un vettore di minacce concrete. Nello specifico, le preoccupazioni si sono concentrate sulla potenziale distribuzione di strumenti che potrebbero (come con BIOS) alterare o manipolare un PC durante la sua sequenza di avvio. Negli anni successivi, molti nel settore e probabilmente anche tantissimi criminali informatici si sono interrogati sulle modalità per sviluppare dei rootkit specifici in grado di sfruttare questo canale di infezione. Ma fino a poco tempo fa questi intenti rimasero solo ipotetici.

Tuttavia, "Visto tutto l'interesse nel poter sfruttare la sequenza di avvio di un PC per attaccarlo, abbiamo deciso di concentrarci sull'identificare tutte le minacce in grado di sfruttare questa fase" come affermato da Roman Kovac, Chief Research Officer di ESET. Mentre molti esperti di sicurezza informatica in tutto il mondo si occupavano di monitorare i rootkit, inclusi quelli UEFI, ESET ha deciso di creare una nuova funzionalità da integrare nella propria tecnologia che fosse in grado di rilevare le modifiche del firmware.

Una complicazione con la scansione UEFI è che ci sono molti motivi legittimi per la sua modifica. Purtroppo però molti degli stessi vettori che consentono questo tipo di modifiche come la diagnostica o la manutenzione remota, possono anche essere utilizzati in modo scorretto per sfruttare delle vulnerabilità. Tra i metodi studiati sicuramente quello di intervenire fisicamente sulla macchina era finora il più probabile, pensiamo per esempio a un dipendente scontento o a un intruso che modifica il firmware delle macchine di un'azienda allo scopo di danneggiarla.

Un'altra opzione, l'ultima scoperta in ordine di tempo e che maggiormente ci interessa, è un attacco remoto che utilizzi un malware e vari altri strumenti per modificare il firmware.

ESET è l'unico fornitore tra i Top 20 a fornire questo livello di protezione in grado di bloccare un simile attacco, ma questa scelta è stata possibile soltanto allontanandosi dai classici paradigmi della sicurezza informatica. Questa decisione ha richiesto enormi sforzi nella ricerca e sviluppo per implementare l'ESET UEFI Scanner già a partire dal 2017 e aggiungendo così la possibilità di eseguire la scansione del firmware di un computer alla tecnologia multilivello presente nelle nostre soluzioni aziendali e consumer.

Il mito diventa realtà – Sednit trasforma il software antifurto in un APT.

Tra i criminali informatici, le cybergang e le minacce malware che ESET e l'industria in generale hanno tracciato, il gruppo Sednit noto anche come Fancy Bears è sicuramente un "sorvegliato speciale".

Sospettato di celarsi dietro molti attacchi di alto profilo in ambito politico, giornalistico e persino sportivo, Sednit vanta nel suo arsenale un insieme diversificato di potenti strumenti malware.

Nel documento "En Route with Sednit" divulgato nell'ottobre 2016, ESET ha precorso i tempi discutendo le prolifiche capacità del gruppo. Da allora abbiamo raccolto un ampio set di indizi rintracciando gli strumenti utilizzati dal gruppo.

A maggio, i membri della più ampia comunità di cyber security hanno descritto come il codice del file eseguibile di LoJack di Absolute Software, una soluzione legittima per il recupero di laptop, fosse stato infettato con un Trojan. Ora i ricercatori ESET hanno dimostrato che dietro questa infezione vi sia proprio il gruppo Sednit, noto anche come FancyBears.

Campioni malevoli mostrano le comunicazioni con un server di comando e controllo (C & C) compromesso invece del server legittimo di Absolute Software, che alterano le impostazioni di configurazione hardcoded del prodotto originale. Tra gli altri indizi troviamo l'uso dei domini C & C per la famigerata backdoor di primo livello, SedUploader, registrato per la prima volta nel 2017.

A causa di queste connessioni i ricercatori di ESET hanno iniziato a riferirsi all'utilizzo malevolo della campagna del software legittimo, come LoJax.

Cosa significa questo assalto al sistema UEFI per gli utenti?

Senza esagerare, il fatto che il malware che si sta infiltrando con successo nell'UEFI sia stato trovato in-the-wild è motivo di seria preoccupazione. Dal momento che l'hacking UEFI migliora la persistenza del malware ed è quasi non identificabile dai tradizionali metodi di scansione delle classiche soluzioni di sicurezza informatica, gli hacker sono alla ricerca di modi per ottenere l'accesso, aumentare i privilegi degli utenti e scrivere direttamente sull'interfaccia UEFI, ovvero parte della memoria flash che contiene il codice attendibile per avviare il computer.

Per ulteriori informazioni sull'argomento è possibile collegarsi al seguente link: https://www.eset.com/it/uefi-rootkit-cyber-attack/

 




Nessun commento:

Posta un commento

Tutte le news della Rete le trovi sul:


Giornale online realizzato da una redazione virtuale composta da giornalisti e addetti stampa, professionisti di marketing, comunicazione, PR, opinionisti e bloggers. Il CorrieredelWeb.it vuole promuovere relazioni tra tutti i comunicatori e sviluppare in pieno le potenzialità della Rete per una comunicazione democratica e partecipata.

Disclaimer

www.CorrieredelWeb.it e' un periodico telematico senza scopi di lucro, i cui contenuti vengono prodotti al di fuori delle tradizionali industrie dell'editoria o dell'intrattenimento, coinvolgendo ogni settore della Societa' dell'Informazione, fino a giungere agli stessi utilizzatori di Internet, che divengono contemporaneamente produttori e fruitori delle informazioni diffuse in Rete. In questo la testata ambisce ad essere una piena espressione dell'Art. 21 della Costituzione Italiana.

Pur essendo normalmente aggiornato piu' volte quotidianamente, CorrieredelWeb.it non ha una periodicita' predefinita e non puo' quindi considerarsi un prodotto editoriale ai sensi della legge n.62 del 7.03.2001.

L'Autore non ha alcuna responsabilita' per quanto riguarda qualità e correttezza dei contenuti inseriti da terze persone. L'Autore si riserva, tuttavia, la facolta' di rimuovere quanto ritenuto offensivo, lesivo o contraro al buon costume.

Le immagini e foto pubblicate sono in larga parte strettamente collegate agli argomenti e alle istituzioni o imprese di cui si scrive. Alcune fotografie possono provenire da Internet, e quindi essere state valutate di pubblico dominio. Eventuali detentori dei diritti d'autore non avranno che da segnalarlo via email alla redazione, che provvedera' all'immediata rimozione o citazione della fonte, a seconda di quanto richiesto.

Viceversa, sostenendo una politica volta alla libera circolazione di ogni informazione e divulgazione della conoscenza, ogni articolo pubblicato sul CorrieredelWeb.it, pur tutelato dal diritto d'autore, può essere ripubblicato citando la legittima fonte e questa testata secondo quanto previsto dalla licenza Creative Common.

Questa opera è pubblicata sotto una Licenza Creative Commons Creative Commons License

CorrieredelWeb.it è un'iniziativa del Cav. Andrea Pietrarota, Sociologo della Comunicazione, Public Reporter, e Giornalista Pubblicista

indirizzo skype: apietrarota