Investigadores de la firma de seguridad informática ESET han descubierto el primer malware activo que se ejecuta la interfaz UEFI (Unified Extensible Firmware Interface) y lo infecta haciendo que sea imposible quitarlo del dispositivo.
“UEFI se trata de una interfaz que hace la función de puente entre el sistema operativo y el firmware del equipo que es quién se encarga de la lógica de más bajo nivel que controla los circuitos electrónicos de un dispositivo de cualquier tipo”.
A este malware se lo ha catalogado cómo Rootkit y se lo ha llamado LoJax. En el informe indican que ha sido descubierto en ataques por un grupo de operadores de Sednit utilizaron diferentes componentes del malware LoJax para alcanzar ciertas organizaciones gubernamentales en los Balcanes, así como también en Europa Central y del Este.
LoJax se instala en la UEFI de la máquina infectada con acceso de privilegio al equipo, pero invisible a los administradores según el White Paper dado a conocer por ESET que detectó que un grupo de hackers llamado Sednit consiguió infectar el equipo de una víctima.
El nombre de dicho malware proviene de una derivación de un programa de antirrobo que protege a las computadoras en caso de ser sustraídas con el nombre de LoJack. Para que éste sea efectivo es que sea capaz de resistir las medidas típicas ante este tipo de “contagio” como puede ser una reinstalación del sistema operativo o el reemplazo del disco rígido. Por este motivo lo han ubicado en la interfaz UEFI, que vienen preinstaladas en una gran cantidad de notebooks, incluso antes de tener cargados los sistemas operativos.
Ciberataques en Latinoamérica: Argentina en el podio de víctimas de phishing
¿Cómo protegerse ante esta nueva amenaza?
En el informe, lo primero que recomiendan es bloquear con Secure Boot desde el Bios de la computadora ya que este ataque utiliza un certificado no firmado y de esta forma si quiere ejecutarse no podrá hacerlo por esta protección y sabremos si nuestro equipo ha sido infectado. También es la defensa de base ante ataques dirigidos a firmware UEFI y puede deshabilitarse en el boot time a través de las opciones de configuración del sistema UEFI.
En el caso de que nuestro equipo se encuentre infectado, no es sencillo solucionar este inconveniente, pero podremos realizarlo actualizando el firmware del fabricante de los proveedores de UEFI/BIOS. Para ellos es necesario reinstalar la memoria flash SPI con una imagen de firmware limpia y específica para el motherboard de su equipo.
Lamentablemente, dicha operación delicada debe ser realizada de manera manual. Sino la otra alternativa para reinstalar de UEFI/BIOS es reemplazar el motherboard de la computadora totalmente.
Desde Conectividad IT, enfáticamente recomendamos mantener actualizado por personal técnico el firmware de su equipamiento para evitar este tipo de amenazas.
(*) Director en Tecnología y Capacitación.
