Alguien ha infectado ordenadores desde la UEFI: sólo sabemos de una ocasión previa que se haya conseguido algo así

Cristian Rus

Todo parte dela UEFI en un ordenador. Este componente se encuentra en un chip de la placa base de los dispositivos y es el encargado de realizar las operaciones básicas. Básicas hasta tal punto que sin UEFI el sistema operativo no se ejecuta. Es por ello que si alguien consiguehackear la UEFI e infectar un ordenador conmalwareen la UEFI, detectar o limpiar ese equipo es una tarea casi imposible. Y alguien lo ha hecho, alguien está infectando ordenadoresconmalwareen la UEFI.

Según investigadores de la empresa de seguridad Kaspersky, han encontrado en equipos de sus clientes unmalwaredel que previamente no se tenía constancia y parece ser bastante único en su especie. Elmalwarelo detectaron en dos equipos de sus clientes a principios de este año. ¿Y por qué es tan inusual? Porque estádiseñado para modificar la UEFI del ordenador de la víctimay quedarse ahí dentro. Desde ahí puede contagiar el resto del equipo tantas veces como quiera, ya que los métodos tradicionales no consiguen eliminarlo de la UEFI.

Elmalwareque no se borra ni formateando el dispositivo

Es la particularidad de losmalwareque se encuentran en la UEFI. Dado que es el chip básico mediante el que se gestiona el resto del ordenador, lo que hay ahíno se elimina al restaurar el ordenador o borrar el disco duro. De lo contrario no sería posible volver a encender el ordenador. Y lo mismo ocurre con lossmartphonesy otros dispositivos.

Según los expertos en seguridad de Kaspersky, elmalwareque encontraron se almacena en la UEFI y de ahíenvía una segunda carga demalwareal disco duro para infectar el equipo como tal. Con esto lo que consigue es poder volver a infectar un ordenador aunque el antivirus detecte elmalwaredel disco duro y lo elimine. Incluso si se formatea por completo el equipo, al instalar de nuevo el sistema operativo puede enviar de nuevo la carga.

Se cree que para conseguir esto el grupo de hackers que lo ha hecho ha utilizadouna herramienta de modificación de UEFI creada por Hacking Team años atrásy llamada VectorEDK. Hacking Team perdió casi todo su poder cuando un activista consiguió en 2015 desmantelarlos al exponer correos internos, código fuente de sus herramientas y más. Al parecer recuperando parte de ese código fuente de VectorEDK han conseguido implantar elmalwareen las UEFIs.

¿Y quién lo ha hecho? No tienen pruebas suficientes para apuntar a alguien en concreto. Eso sí,creen que tiene que ser algún grupo de hackers chino. La razón de esta suposición es que se descubrió elmalwareen dos dispositivos de diplomáticos en Asia. Además parte del código y referencias en él están en chino simplificado o coreano. También se cree que han utilizado Royal Road, una herramienta de creación de documentos popular entre grupos de hackers chinos.

Sea quien sea el que esté detrás de este método de hackeo, lo cierto es quehay que reconocerle el mérito. Sólo se sabe de una ocasión previa en la que se haya atacado a equipos infectando desde la UEFI. Fue en 2018 cuando la empresa de seguridad ESETdescubrió unmalwarellamado LoJaxque hace algo similar almacenándose en la UEFI.

La UEFI, que parece un lugar inofensivo y casi inaccesible, va tener que tomarse más en cuenta a partir de ahora. Especialmente por parte deherramientas de seguridad a la hora de buscarmalwareen equipos. Y es que, de algún modo u otro, se demuestra una vez más que no hay que subestimar el ingenio de loshackers. Ejemplos de ello tenemos elmalwarede Android que se reisntala, elmalwarequete pide completar CAPTCHAso el querevienta cargadores y móvilessobrecargándolos.

Vía |computingMás información |Kaspersky