En los papeles filtrados por Wikileaks sobre la CIA, se describen una gran cantidad de exploits y herramientas utilizadas para explotar varios sistemas operativos y hardware de dispositivos populares. Uno de los documentos, describe la utilización de un rookit EFI (Extensible Firmware Interface) que puede instalar en las MacBooks de Apple.
DarkMatter, como se le conoce a este rootkit EFI para las MacBooks desarrollado por la CIA, permite ejecutar código malicioso antes de que cargue el sistema operativo mismo –macOS en este caso. Una vez corriendo, puede ejecutar tareas a nivel del Kernel, todas enfocadas al espionaje doméstico claro, y es técnicamente difícil de detectar.
Con lo anterior en mente, y esperando que Apple libere un parche que evite la instalación de este tipo de malware, el equipo de Intel Security ha desarrollado una herramienta de detección de rootkits EFI que busca particularmente el DarkMatter. Intel se refiere al respecto de la siguiente manera:
El malware para el Firmware EFI, es una nueva frontera para robar y efectuar ataques persistentes que podrían ser utilizados por adversarios sofisticados para penetrar y persistir dentro de las organizaciones e infraestructura nacional por mucho tiempo.
CHIPSEC, es una herramienta de seguridad con la que es posible identificar este tipo de software malicioso. Intel ha actualizado esta herramienta para que detecte las variantes DarkMatter. Aquí pueden encontrar toda la información relacionada. Intel también recuerda que las actualizaciones EFI, deben realizarse únicamente con los archivos descargados desde la página oficial de Apple.
