APT28 es el nombre de un grupo de piratas informáticos que han causado terror al hacer enormes daños a nivel mundial en diversas empresas e instituciones gubernamentales. Y ahora están terminando el año de una manera asombrosa, mediante ataques con LoJax, un rootkit UEFI casi imposible de erradicar aunque se formatee la computadora o se cambie de disco duro.

Los rootkits, con presencia en el mundo desde hace más de veinticinco años, son un tipo de malware (software malicioso) que contiene varias herramientas cuyo fin es ilícitamente acceder al sistema operativo sin ser descubiertos y obtener control del equipo vía remota. Por otra parte, un rootkit UEFI tiene la capacidad de correr directamente en la UEFI (unified extensible firmware interface), por eso resulta imposible eliminarlo con un formateo o reemplazo de unidad de disco duro.
Investigadores del área de seguridad informática de la compañía ESET detectaron la presencia de una amenaza poco común en mayo de 2018, que alarmó principalmente a países europeos. Fue descubierto LoJax, nombrado así debido a las muestras del software antirrobo LoJack, uno de los blancos de ataque de APT28.
En los ejecutables de LoJax se detectaron tres conjuntos de herramientas para la instalación exitosa del software malicioso:
Las primeras ejecutan ciertos archivos con la capacidad de recolectar información del hardware del equipo y enviarla a un archivo de texto.
Las segundas, luego de leer los contenidos de la memoria flash SPI, donde está situada la UEFI, generan un archivo donde se almacena la imagen del firmware del sistema.
Las terceras escriben nuevamente en la memoria flash SPI, después de haber agregado un módulo UEFI malicioso a la imagen del i.
Respecto al funcionamiento de este malware, la compañía de seguridad informática ESET mencionó: «En los sistemas que se enfocaron en la campaña LoJax, encontramos varias herramientas que pueden acceder y parchear las configuraciones UEFI / BIOS. Esta herramienta de parches utiliza diferentes técnicas para abusar de las plataformas mal configuradas o para eludir las protecciones de escritura de la memoria flash SPI de la plataforma». También realizaron un informe titulado LOJAX. First UEFI rootkit found in the wild, courtesy of the Sednit group.
Para protección en contra de la amenaza, lo primero a tomar en cuenta es la deficiencia de firma del rootkit UEFI. Comprendido lo anterior, la primera opción será activar el estándar de seguridad Secure Boot, para que cada componente del firmware necesite ser firmado al cargarse. Otra opción es asegurarse de tener la reciente actualización disponible UEFI/BIOS para la tarjeta madre utilizada. Una opción más, dado que instalar una nueva imagen del firmware es una tarea a realizar por especialistas, es cambiar la tarjeta madre.
Adicionalmente, recordemos que este tipo ataques son dirigidos a grandes empresas, instituciones u organizaciones, pero no es para pasar desapercibido en los usuarios comunes; al contrario, se debe estar al tanto de investigaciones así para saber cómo protegerse en nuestra actual era digital. Quizás a otros ciberdelincuentes les interese utilizar un software malicioso con características similares para atacar a los consumidores generales y obtener su información personal. Como siempre, es más barato prevenir que actuar cuando el daño ya esté hecho.
Fuente: