Documentos filtrados en línea después del ataque a Hacking Team revelaron que la compañía utiliza un rootkit de BIOS UEFI para obtener persistencia de su software espía.
La violación de datos reciente sufrida por la empresa de vigilancia de Hacking Team esta impactando a la industria de la seguridad informática, los hackers filtraron correos electrónicos de la empresa, códigos fuente y contratos que revelan verdades incómodas.
Los expertos en seguridad centraron principalmente su análisis en las herramientas de hacking y códigos exploits incluidos en el paquete de 400 GB que se filtró en Internet. El archivo incluye una serie de exploits de día cero para Adobe Flash Player y Microsoft Internet Explorer, estos códigos son sólo parte del arsenal de hacking de la empresa de vigilancia, que desarrolló el popular software espía Sistema de control remoto (RCS), también conocido como Galileo. RCS tiene una estructura modular que le permite poner en peligro varios objetivos mediante la carga de los exploits de día cero necesarios.
La última revelación hecha por los expertos de Trend Micro en orden cronológico, es la disponibilidad de un rootkit UEFI BIOS en el arsenal del Hacking Team que permite a la empresa garantizar la persistencia de su software malicioso incluso si las víctimas formatean su disco duro y vuelven a instalar el sistema operativo.
Los expertos del Hacking Team explicaron que los atacantes necesitan acceso físico a la máquina de destino para servir el rootkit BIOS UEFI por el BIOS.
La violación de datos reciente sufrida por la empresa de vigilancia de Hacking Team esta impactando a la industria de la seguridad informática, los hackers filtraron correos electrónicos de la empresa, códigos fuente y contratos que revelan verdades incómodas.Los expertos en seguridad centraron principalmente su análisis en las herramientas de hacking y códigos exploits incluidos en el paquete de 400 GB que se filtró en Internet. El archivo incluye una serie de exploits de día cero para Adobe Flash Player y Microsoft Internet Explorer, estos códigos son sólo parte del arsenal de hacking de la empresa de vigilancia, que desarrolló el popular software espía Sistema de control remoto (RCS), también conocido como Galileo. RCS tiene una estructura modular que le permite poner en peligro varios objetivos mediante la carga de los exploits de día cero necesarios.
La última revelación hecha por los expertos de Trend Micro en orden cronológico, es la disponibilidad de un rootkit UEFI BIOS en el arsenal del Hacking Team que permite a la empresa garantizar la persistencia de su software malicioso incluso si las víctimas formatean su disco duro y vuelven a instalar el sistema operativo.
"Hacking Team utiliza un rootkit UEFI BIOS para mantener su agente del sistema de control remoto (RCS) instalado en los sistemas de sus objetivos". Esto significa que incluso si el usuario formatea el disco duro, vuelve a instalar el sistema operativo, e incluso si compra un disco duro nuevo, los agentes se implantan después de que Microsoft Windows sea instalado". Afirma Trend Micro.El rootkit UEFI BIOS utilizado por el Hacking TEam fue diseñado específicamente para comprometer los sistemas BIOS UEFI desarrollados por dos de los vendedores más populares, los proveedores Insyde y AMI.
Los expertos del Hacking Team explicaron que los atacantes necesitan acceso físico a la máquina de destino para servir el rootkit BIOS UEFI por el BIOS.
"Una presentación de diapositivas de Hacking Team afirma que la infección con éxito requiere acceso físico al sistema de destino; Sin embargo, no podemos descartar la posibilidad de la instalación remota. Un escenario ejemplo de ataque sería: El intruso obtiene acceso al equipo de destino, se reinicia en consola UEFI, vuelca el BIOS, instala el rootkit BIOS, reflashea el BIOS, y luego reinicia el sistema de destino ", continúa el mensaje.Para evitar este tipo de ataques Trend Micro recomienda:
- Asegúrate que UEFI SecureFlash está habilitado
- Actualiza la BIOS cada vez que haya un parche de seguridad
- Establecer una contraseña de BIOS o UEFI
