Scoperto il primo malware per UEFI, resiste anche alla formattazione del disco

L’UEFI (Unified Extensible Firmware Interface) è l’interfaccia che nei moderni PC ha sostituito il BIOS. Il firmware si carica prima del sistema operativo, questo significa che riuscire a “infettare” l’UEFI consente di ottenere una persistenza molto elevata, resistente anche a una reinstallazione del sistema operativo o alla sostituzione dell’hard disk.

Ed è proprio quello che ha fatto il gruppo di cybercriminali noto come Sednit, APT28 o Fancy Bear, gli hacker che molti analisti ritengono siano collegati al GRU (Главное разведывательное управление), i servizi segreti delle forze armate russe. Gli stessi che il Governo USA ritiene responsabili del noto hack contro il Partito Democratico statunitense alla vigilia delle elezioni del 2016.

Nascondere un malware all’interno dell’UEFI è un’eventualità già presa in considerazione dalla comunità di ricerca, ma finora tutte le teorie e i proof-of-concept erano rimasti nei laboratori. La settimana scorsa invece l’azienda di sicurezza ESET è stata la prima a scoprire un rootkit per UEFI come componente di un attacco informatico indirizzato contro organizzazioni e governi dell’Europa centrale, orientale e dei Balcani.

ESET ha chiamato il malware LoJax e ha rilasciato un dettagliato whitepaper con un’analisi del codice e indicazioni su come prevenire e mitigare il rischio. Altre informazioni sono disponibili sul blog di ESET Italia.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society e membro dell'Associazione Italiana esperti in Infrastrutture Critiche. Dal 2006 lavoro presso ESET Italia, dove ricopro il ruolo di Operations Manager. Il blog è personale.