Rootkit che infettano le schede di rete: alcune considerazioni

Guillaume Delugré, ricercatore del Sogeti European Security Expertise Center (ESEC), ha riacceso l’interesse su un tema che viene definito dallo stesso studioso, particolarmente delicato. Delugré ha spiegato che un aggressore può essere in grado di infettare una scheda di rete con un rootkit sviluppandone un firmware “ad hoc”. Dal momento che il processore montato sulla scheda di rete è in grado di colloquiare direttamente con la memoria del sistema attraverso il bus PCI (Direct Memory Access, DMA), un malintenzionato può riuscire – grazie al firmware modificato.-, ad esempio, a monitorare il traffico di rete senza che l’attività venga messa a nudo dai software di protezione installati sul personal computer.

Delugré ha realizzato un firmware modificato per le schede di rete NetExtreme di Broadcom ricorrendo semplicemente alla documentazione pubblicamente disponibile e ad alcune utilità opensource. “Un rootkit insediato sulla scheda di rete offre alcune possibilità molto interessanti“, ha commentato il ricercatore. “E’ possibile intercettare e falsificare i dati in transito senza che il sistema operativo e gli altri software si accorgano di nulla“.

Va comunque precisato che la possibilità di “infestare” una scheda di rete caricandovi firmware modificati è cosa nota ormai da anni. Nel 2006, ad esempio, John Heasman “iniettò” un rootkit nella memoria estesa di schede grafiche e schede di rete sebbene il codice da lui messo a punto necessitasse il download di codice dopo l’avvio di Windows. Le memorie flash come quella utilizzata per la gestione del BIOS della scheda madre sono un altro luogo in cui un rootkit potrebbe insediarsi.

Secondo Marco Giuliani, Malware Technology Specialist per Prevx, tuttavia, attacchi come quello riportato in auge da Delugré “difficilmente prenderanno piede perché sono troppo dipendenti dall’hardware“. Sì, di sicuro un aggressore potrebbe indurre un’azienda ad installare una scheda di rete modificata con lo scopo di avviare un’attività di spionaggio, con un attacco estremamente mirato. “L’aggressore potrebbe addirittura analizzare l’hardware che monta un’azienda, studiarlo e cercare di infettarlo da remoto con un malware“, ha aggiunto Giuliani. “Tutto è possibile. Ma a che pro? Un “semplice” rootkit qual è TDL sta tutt’oggi creando problemi a tutti. Ed è “solamente” un rootkit kernel mode“.