3284 Letture
LoJax, scoperto il primo rootkit in grado di attaccare UEFI in modalità remota

LoJax, scoperto il primo rootkit in grado di attaccare UEFI in modalità remota

Fino ad oggi tutti gli attacchi che prendevano di mira il firmware di un dispositivo necessitavano della disponibilità fisica di tale device da parte dell'aggressore. Con LoJax tutto cambia e UEFI diventa attaccabile anche da remoto. Il malware, inoltre, sopravvive alla reinstallazione del sistema operativo e alla formattazione delle unità disco.

È stato scoperto il primo malware capace di aggredire il firmware UEFI dei PC sui quali venisse posto in esecuzione. A pubblicare i dettagli sul funzionamento del malware è ESET (questa l'analisi tecnica) che mette in evidenza come LoJax sia evidentemente in grado di resistere alla reinstallazione di Windows e alla formattazione completa delle unità di memorizzazione.

LoJax, scoperto il primo rootkit in grado di attaccare UEFI in modalità remota

Il firmware del PC è vulnerabile agli stessi attacchi che vengono solitamente sferrati contro i software installati: UEFI è una sorta di "mini-sistema operativo" (vedere l'articolo Che cos'è UEFI e quello che c'è da sapere sul nuovo BIOS) che sostituisce il BIOS tradizionale e che è responsabile del corretto funzionamento e della configurazione dei principali componenti hardware (nell'articolo Come entrare nel BIOS su qualunque dispositivo abbiamo visto come accedervi).


Rispetto ad altre minacce, LoJax è "una bestia" tutta nuova perché non richiede la disponibilità fisica del PC per disporre la modifica del firmware ma è progettato per funzionare da remoto utilizzando componenti software in grado di leggere il contenuto di UEFI e modificarlo.
Appositi tool integrati in LoJax sono infatti capaci di creare dump della configurazione di UEFI quindi di applicare patch malevole attraverso la modifica della memoria flash SPI.

ESET spiega che LoJax ha dei tratti distintivi che lo accomunano ad altri malware utilizzati da un famoso gruppo russo, Sednit, ritenuto artefice di una serie di aggressioni verso l'Europa e gli Stati Uniti (ad esempio durante le elezioni del 2016).
Uno dei driver utilizzati da LoJax che consente al codice UEFI modificato di accedere al contenuto delle partizioni NTFS (quelle usate da Windows) e il successivo caricamento dell'agent utilizzato per il controllo remoto del sistema, sarebbe stato sottratto alla milanese Hacking Team nel corso dell'aggressione posta a segno oltre due anni fa: Hacking Team, come è stata attaccata.


La scoperta del primo rootkit UEFI utilizzato in un attacco informatico deve suonare come un campanello di allarme per gli utenti e le aziende che spesso ignorano i rischi connessi alle modifiche del firmware.

Secondo i ricercatori di ESET ora sarà indispensabile aggiungere il controllo periodico dei firmware all'interno dei normali processi di sicurezza. È vero che gli attacchi UEFI sono estremamente rari e fino ad ora erano per lo più limitati alla manomissione fisica del computer di destinazione ma LoJax apre nuovi scenari che non possono e non devono essere sottovalutati.

LoJax, scoperto il primo rootkit in grado di attaccare UEFI in modalità remota