Alguien ha infectado ordenadores desde la UEFI: sólo sabemos de una ocasión previa que se haya conseguido algo así

Todo parte de la UEFI en un ordenador. Este componente se encuentra en un chip de la placa base de los dispositivos y es el encargado de realizar las operaciones básicas. Básicas hasta tal punto que sin UEFI el sistema operativo no se ejecuta. Es por ello que si alguien consigue hackear la UEFI e infectar un ordenador con malware en la UEFI, detectar o limpiar ese equipo es una tarea casi imposible. Y alguien lo ha hecho, alguien está infectando ordenadores con malware en la UEFI.

Según investigadores de la empresa de seguridad Kaspersky, han encontrado en equipos de sus clientes un malware del que previamente no se tenía constancia y parece ser bastante único en su especie. El malware lo detectaron en dos equipos de sus clientes a principios de este año. ¿Y por qué es tan inusual? Porque está diseñado para modificar la UEFI del ordenador de la víctima y quedarse ahí dentro. Desde ahí puede contagiar el resto del equipo tantas veces como quiera, ya que los métodos tradicionales no consiguen eliminarlo de la UEFI.

El malware que no se borra ni formateando el dispositivo

Es la particularidad de los malware que se encuentran en la UEFI. Dado que es el chip básico mediante el que se gestiona el resto del ordenador, lo que hay ahí no se elimina al restaurar el ordenador o borrar el disco duro. De lo contrario no sería posible volver a encender el ordenador. Y lo mismo ocurre con los smartphones y otros dispositivos.

Según los expertos en seguridad de Kaspersky, el malware que encontraron se almacena en la UEFI y de ahí envía una segunda carga de malware al disco duro para infectar el equipo como tal. Con esto lo que consigue es poder volver a infectar un ordenador aunque el antivirus detecte el malware del disco duro y lo elimine. Incluso si se formatea por completo el equipo, al instalar de nuevo el sistema operativo puede enviar de nuevo la carga.

Se cree que para conseguir esto el grupo de hackers que lo ha hecho ha utilizado una herramienta de modificación de UEFI creada por Hacking Team años atrás y llamada VectorEDK. Hacking Team perdió casi todo su poder cuando un activista consiguió en 2015 desmantelarlos al exponer correos internos, código fuente de sus herramientas y más. Al parecer recuperando parte de ese código fuente de VectorEDK han conseguido implantar el malware en las UEFIs.

¿Y quién lo ha hecho? No tienen pruebas suficientes para apuntar a alguien en concreto. Eso sí, creen que tiene que ser algún grupo de hackers chino. La razón de esta suposición es que se descubrió el malware en dos dispositivos de diplomáticos en Asia. Además parte del código y referencias en él están en chino simplificado o coreano. También se cree que han utilizado Royal Road, una herramienta de creación de documentos popular entre grupos de hackers chinos.

Sea quien sea el que esté detrás de este método de hackeo, lo cierto es que hay que reconocerle el mérito. Sólo se sabe de una ocasión previa en la que se haya atacado a equipos infectando desde la UEFI. Fue en 2018 cuando la empresa de seguridad ESET descubrió un malware llamado LoJax que hace algo similar almacenándose en la UEFI.

La UEFI, que parece un lugar inofensivo y casi inaccesible, va tener que tomarse más en cuenta a partir de ahora. Especialmente por parte de herramientas de seguridad a la hora de buscar malware en equipos. Y es que, de algún modo u otro, se demuestra una vez más que no hay que subestimar el ingenio de los hackers. Ejemplos de ello tenemos el malware de Android que se reisntala, el malware que te pide completar CAPTCHAs o el que revienta cargadores y móviles sobrecargándolos.

Vía | computing
Más información | Kaspersky

Ver todos los comentarios en https://www.xataka.com

VER 11 Comentarios

Portada de Xataka