Il firmware UEFI è un componente critico per la maggior parte dei dispositivi. Il codice che contiene è responsabile dell’avvio del dispositivo, prima ancora del caricamento del bootloader e del sistema operativo installato. Per questo con il termine rootkit si fa comunemente riferimento al malware che si attiva prima del caricamento di Windows.
Se UEFI viene in qualche modo modificato con l’aggiunta di codice dannoso quest’ultimo risulterà caricato prima del sistema operativo. Un aggressore che sfruttasse questa modalità d’infezione può far passare il codice nocivo completamente inosservato, anche alle soluzioni di sicurezza più evolute.
Dal momento che il firmware risiede su un chip separato, gli attacchi informatici contro UEFI sono eccezionalmente sfuggenti e persistenti. Il malware rimane infatti sul dispositivo anche quando il sistema operativo dovesse essere reinstallato o l’unità formattata.
Kaspersky ha scoperto un nuovo malware, chiamato CosmicStrand, che aveva celato la sua presenza addirittura da fine 2016.
CosmicStrand attacca il firmware UEFI di molteplici schede madri (vengono citate quelle di ASUS e GigaByte) attivando a ogni avvio di Windows un componente software che si collega a un server Command-and-Control e scaricare ulteriore malware.
Una precedente versione di quello che sembra essere di fatto lo stesso malware è stata scoperta dai cinesi di Qihoo360 che l’avevano chiamata Spy Shadow Trojan.
Al momento la stragrande maggioranza degli attacchi sembra essersi registrata proprio in Cina ma minacce come CosmicStrand hanno un potenziale enorme.
Mark Lechtik, ex ricercatore Kaspersky esperto in materia di reverse engineering, adesso nelle fila di Mandiant, spiega che il firmware UEFI – una volta aggredito – presenta un driver CSMCORE DXE modificato: esso viene sfruttato per attivare un processo di boot legacy. Il driver così modificato permette di intercettare la sequenza di boot del dispositivo e aggiungere una logica malevola.
Nello specifico, secondo Kaspersky, CosmicStrand ha preso di mira motherboard ASUS e GigaByte basate sul chipset H81 utilizzato nei sistemi commercializzati tra il 2013 e il 2015 (oggi abbandonato).
Esemplari del malware CosmicStrand sarebbero stati rinvenuti anche in alcuni modelli di schede madri usate acquistate su varie piattaforme online.
Il primo report su un rootkit UEFI che ha fatto registrare una notevole diffusione è quello relativo a LoJax, scoperto nel 2018 da ESET: è stato utilizzato negli attacchi degli hacker russi del gruppo APT28 (Sednit, Fancy Bear, Sofacy).
Quasi quattro anni dopo gli attacchi a UEFI sono diventati più frequenti: nel 2020 Kaspersky accese un faro su MosaicRegressor utilizzato l’anno precedente per aggredire diverse organizzazioni non governative.
Alla fine del 2020 è arrivata la notizia della diffusione di TrickBoot, un malware che permetteva agli aggressori di controllare a distanza le macchine compromesse sfruttando vulnerabilità UEFI.
Un altro rootkit UEFI è stato scoperto alla fine del 2021: è stato realizzato da Gamma Group come parte della loro soluzione di sorveglianza FinFisher.
Sempre l’anno scorso ESET ha parlato di una minaccia chiamata ESPecter, utilizzata principalmente in attività di spionaggio con origini che sono state fatte risalire addirittura al 2012.
Infine, da gennaio 2022 si parla di MoonBounce, uno dei malware che prendono di mira UEFI più sofisticati in circolazione. Secondo i ricercatori sarebbe stato ampiamente utilizzato da un gruppo di hacker di lingua cinese noto anche come APT41.