L’UEFI (Unified Extensible Firmware Interface) è l’interfaccia che nei moderni PC ha sostituito il BIOS. Il firmware si carica prima del sistema operativo, questo significa che riuscire a “infettare” l’UEFI consente di ottenere una persistenza molto elevata, resistente anche a una reinstallazione del sistema operativo o alla sostituzione dell’hard disk.
Ed è proprio quello che ha fatto il gruppo di cybercriminali noto come Sednit, APT28 o Fancy Bear, gli hacker che molti analisti ritengono siano collegati al GRU (Главное разведывательное управление), i servizi segreti delle forze armate russe. Gli stessi che il Governo USA ritiene responsabili del noto hack contro il Partito Democratico statunitense alla vigilia delle elezioni del 2016.
Nascondere un malware all’interno dell’UEFI è un’eventualità già presa in considerazione dalla comunità di ricerca, ma finora tutte le teorie e i proof-of-concept erano rimasti nei laboratori. La settimana scorsa invece l’azienda di sicurezza ESET è stata la prima a scoprire un rootkit per UEFI come componente di un attacco informatico indirizzato contro organizzazioni e governi dell’Europa centrale, orientale e dei Balcani.
ESET ha chiamato il malware LoJax e ha rilasciato un dettagliato whitepaper con un’analisi del codice e indicazioni su come prevenire e mitigare il rischio. Altre informazioni sono disponibili sul blog di ESET Italia.
