Laboratorios ESET anunció
el descubrimiento del primer ciberataque que utiliza un rootkit UEFI
para infectar y conseguir persistencia en el dispositivo de las
víctimas.
Este
rootkit, denominado LoJax, por ESET, forma parte del primer ataque de
este tipo descubierto en el mundo y pertenece a una campaña del grupo de
ciberdelincuentes Sednit.
“Estábamos
al tanto de la existencia de rootkits UEFI pero el descubrimiento
realizado por nuestros investigadores pone de manifiesto su utilización
por parte de un grupo activo y conocido de ciberdelincuentes. No se
trata de una prueba de concepto para mostrar en una conferencia de
seguridad, sino de una amenaza real, avanzada y persistente”, asegura
Josep Albors, responsable de investigación y concienciación de ESET.
Sednit
-también conocido como APT28, Strontium, Sofacy o Fancy Bear- es el
grupo responsable del ataque. Se trata de un grupo de ciberdelincuentes
activo desde 2004, a quien el Departamento de Justicia de los Estados
Unidos acusó de ser los responsables del ataque al Comité Nacional
Demócrata que tuvo lugar antes de las elecciones de 2016 en los Estados
Unidos. Se presume también que el grupo es quién está detrás del ataque a
la red global de televisión TV5Monde; la filtración de correos de la
Agencia Mundial Antidopaje (WADA, por sus siglas en inglés), y otras
alrededor del mundo.
El
descubrimiento de este rootkit UEFI usado como herramienta de ataque
por primera vez es una llamada de atención a los usuarios y a las
organizaciones que ignoran los riesgos de un mundo ultraconectado. “Este
descubrimiento debería servir para incorporar, de una vez por todas, el
análisis regular también del firmware de los dispositivos utilizados en
una organización. Es cierto que los ataques UEFI son extremadamente
raros y hasta ahora se limitaban a la manipulación del dispositivo
afectado, pero un ataque como el descubierto puede conseguir que un
atacante obtenga el control completo del aparato con una persistencia
prácticamente total”, recuerda Albors.
Los
rootkits UEFI son herramientas muy peligrosas en el mundo de la
ciberdelincuencia ya que permiten tomar el control del dispositivo
independientemente del sistema operativo utilizado, son difíciles de
descubrir y pueden sobrevivir incluso a las medidas más comunes
utilizadas en los departamentos de seguridad, tales como la
reinstalación del sistema o el reemplazo del disco duro. Además, la
limpieza de un sistema infectado por un rootkit UEFI debe llevarse a
cabo por profesionales especializados con conocimientos de alto nivel.
