Uno UEFI bootkit è un malware che nonostante le protezioni integrate nel nuovo BIOS riesce comunque a caricarsi all’avvio del PC, prima del sistema operativo, e passare quindi inosservato all’azione delle principali soluzioni per la sicurezza informatica.
È un malware ibrido che tiene un comportamento simile sia a quello delle minacce che infettano il settore di boot e sia ai comuni rootkit.
FinFisher, conosciuto anche come FinSpy e Wingbird, nasce come uno strumento per la sorveglianza degli individui: è stato infatti sviluppato da Gamma Group ed è stato utilizzato da forze di polizia, enti pubblici e autorità di mezzo mondo.
Alcune aziende specializzate nella sicurezza informatica riferiscono comunque di aver rilevato l’utilizzo di FinFisher in molti attacchi sferrati nei confronti di aziende di alto profilo (aggressioni di tipo spear phishing) e di provider Internet.
Come spiegano i ricercatori di Kaspersky tutte le macchine infettate con lo UEFI bootkit utilizzavano una versione modificata (infetta) del Windows Boot Manager ossia del componente che permette di scegliere il sistema operativo da caricare all’avvio del computer.
In un altro articolo abbiamo visto cos’è Windows Boot Manager e come si modifica il menu di avvio.
Questo particolare metodo di attacco ha permesso agli aggressori di installare un bootkit efficace senza la necessità di bypassare i controlli di sicurezza esercitati a livello di firmware. Grazie a Secure Boot e alle altre protezioni in uso le infezioni all’avvio dei sistemi UEFI sono molto rare e generalmente difficili da concretizzare. Ecco perché FinFisher ha potuto per lungo tempo passare completamente inosservato e persistere con le sue attività sui computer infettati.
Abbiamo visto perché Windows 11 chiede di attivare Secure Boot a livello UEFI ma minacce come FinFisher gettano comunque un’ombra su un sistema nato per proteggere proprio da questo tipo di attacchi.
Un bootkit che risulta efficace su sistemi UEFI rappresenta un grave pericolo perché fornisce agli aggressori pieno controllo sul processo di avvio di un sistema operativo e permette di sabotare le difese del sistema operativo bypassando il meccanismo di Secure Boot.
Attacchi pubblicamente documentati e malware che utilizzano bootkit sono estremamente rari: si ricordano Lojax, utilizzato dal gruppo di hacker APT28; MosaicRegressor distribuito da criminali informatici di lingua cinese; il modulo TrickBot e Moriya che, di nuovo, aggressori cinesi hanno utilizzato nel 2018 probabilmente con finalità di spionaggio.
Nel caso di FinFisher gli aggressori non hanno infettato il firmware UEFI stesso ma si sono concentrati sulla successiva fase di avvio: il modulo dannoso è stato installato su una partizione separata e impostato in maniera da controllare furtivamente il processo di avvio della macchina infetta. Tanto che FinFisher è stato battezzato come uno dei malware più difficili da rilevare mai realizzati fino ad oggi.
Gli sviluppatori di FinFisher hanno svolto un importante lavoro anche per ciò che riguarda l’offuscamento del codice in modo da restare “under-the-radar“.
Nel report elaborato da Kaspersky, in corrispondenza del paragrafo “IoCs” ovvero (“indicatori di compromissione”) sono indicati i principali elementi che sono la spia di un’avvenuta infezione sul sistema in uso.