Un grupo de Investigadores de la compañía de seguridad cibernética ESET, ha descubierto lo que al parecer es el primer «malware UEFI» conocido como: «rootkit». El cual fue utilizado para alcanzar ciertas organizaciones gubernamentales en los Balcanes, así como también en Europa Central y del Este.
Un Rootkit o encubridor, se define como un conjunto de herramientas usadas por intrusos informáticos para acceder ilícitamente a un sistema informático.
Esta instancia de malware se ha denominado LoJax, ya que copia porciones del software LoJack Absolute LoJack, con la intención de encontrar computadoras portátiles robadas y borrar de manera remota el disco duro de una computadora, por lo que este malware de rootkit solo afecta a las PC.
Este malware se incrusta en el firmware de una computadora y según menciona ESET, este no se puede eliminar fácilmente, ya que, para ello se requiere reinstalar el sistema operativo o reemplazar el disco duro de la computadora.
«El descubrimiento del primer rootkit UEFI en el medio silvestre es notable por dos razones. En primer lugar, muestra que los rootkits UEFI son una amenaza real, y no simplemente un tema de conferencia atractivo. Y segundo, sirve como un aviso, especialmente para todos aquellos que podrían estar en la mira de Sednit. Este grupo APT, también conocido como APT28, STRONTIUM, Sofacy y Fancy Bear, puede ser incluso más peligroso de lo que se pensaba «.
Algunos de estos nombres no son desconocidos, pues, «Fancy Bear» pertenece a un grupo pirata incrustado en la agencia de inteligencia GRU de Rusia, al que se le han atribuido responsables de pirateo de correos electrónicos DNC de 2016 y varias campañas de desinformación alrededor de las elecciones realizadas en EE.UU.
Los piratas informáticos rusos, implementaron varios métodos como parte de sus ataques, desde la ingeniería social hasta el correo electrónico de spear-phishing, sin embargo, la implementación de este sofisticado malware de rootkit lleva estos ataques a un nivel superior y desconocido.
Como mencionamos en un principio, ya se han descubierto componentes del malware LoJax en diferentes ataques, y es que según revela ESET, los informáticos tuvieron éxito al menos una vez en escribir este malware:
«Este malware estuvo implicado en algunos atentados contra varias organizaciones gubernamentales en los Balcanes, así como en Europa Central y del Este. La investigación de ESET concluyó que los piratas informáticos «tuvieron éxito al menos una vez al escribir un módulo UEFI malicioso en la memoria flash SPI de un sistema».
Una amenaza que sin lugar a dudas muestra que los rusos no se detienen en sus ataques, sino que por el contrario están tomando cada vez mas fuerza.
