La seguridad se está convirtiendo en un problema cada vez mayor, ya que los ciberdelincuentes son cada vez más sofisticados. Los programas maliciosos de tipo rootkit son especialmente dañinos y peligrosos, ya que son capaces de sobrevivir a la reinstalación del sistema operativo o al reemplazo de disco duro.
Los investigadores de ESET Research han encontrado un rootkit llamado LoJax, el cual es capaz de infectar el sistema de arranque UEFI. Este habría estado activo desde, al menos, principios de 2017, y sus creadores serían el grupo ruso conocido como Sednit/Fancy Bear/APT 28. Este grupo, estaría amparado por el gobierno ruso y habrían sido los responsables, según las agencias policiales y de inteligencia estadounidenses, del ataque al Partido Demócrata de Estados Unidos.
Los agentes rusos han empleado para su programa malicioso código de varios programas legítimos, entre los cuales hay código modificado de LoJack y RWEverything. El primero es un programa que permite, permite, en remoto, bloquear y localizar un equipo, o borrar archivos sensibles de mismos en caso de robo. Sin embargo, como sus protocolos no llevan autenticación, es vulnerable ante la suplantación de la identidad de los servidores de la compañía. En cuanto al programa RWEverything, este permite encontrar controladores de dispositivos DXE en el firmware del equipo y sobreescribirlos con versiones maliciosas. Pero, además, también hay código que emplea un controlador de dispositivo NTFS para hacer cambios en la partición de Windows e instalar el agente.
El ataque, bastante sofisticado, demuestra que la creatividad muchas veces consiste en saber cómo combinar elementos que están al alcance de cualquiera con los recursos adecuados. Lo cual, cuando estos recursos son puestos por un estado a disposición de los creadores, da una idea del nivel de peligrosidad que pueden tener las creaciones.
Vía: Ars Technica.
