Dos expertos en seguridad de la última conferencia de hacking Def Con han demostrado cómo los módems internos LTE/3G pueden ser hackeados para ayudar al malware a sobrevivir reinstalaciones del sistema operativo.
Muchos usuarios ignoran totalmente que los módems LTE/3G integrados en las nuevas laptops de negocios y tabletas tienen un procesador dedicado y sistema operativo que podría ser explotado por ciberdelincuentes para mantener el acceso persistente a un dispositivo comprometido.
Los investigadores de seguridad Mickey Shkatov y Jesse Michael del grupo de seguridad de Intel en una platica en la conferencia de seguridad DEF CON en Las Vegas demostraron cómo un malware que infecta una máquina podría reescribir el firmware de un popular módem Huawei LTE.
El experto explicó que el módem Huawei LTE ejecuta un sistema operativo basado en Linux, una modificación del sistema operativo Android, y está conectado con el sistema host a través de una interfaz USB interno. El uso de una interfaz USB interno significa que el módulo podría ser utilizado por los atacantes para emular un número de dispositivos conectados al sistema operativo principal, que incluye un teclado, mouse, unidad de CD-ROM, tarjeta de red, u otro dispositivo USB.
Los investigadores fueron capaces de reescribir el firmware ya que el proceso de actualización es débil, de hecho, las actualizaciones no están protegidas por firma digital ni por mecanismos de cifrado. Los dos investigadores desarrollaron su firmware malicioso y la sirvieron a través de la utilidad de actualización de Windows proporcionada por el vendedor.
Las actualizaciones pueden ser entregadas en varias formas, mediante la explotación de programas maliciosos ya que se ejecutan en el equipo de destino, o engañando a las víctimas haciéndoles creer que son parches de seguridad legítimos.
Una vez que el atacante ha reescrito el firmware que se ejecuta en el módem será capaz de mantener la infección, incluso si se vuelve a instalar el sistema operativo. Los expertos también explicaron que el firmware malicioso podría ser también instruido a hacer caso omiso de cualquier actualización de firmware posterior, en este caso, la única manera de restaurar el PC infectado es quitar el módulo de módem infectado.
Huawei arregló enseguida el tema, por medio de la introducción de un arranque seguro que bloquea el flasheo o instalación de imágenes no autorizadas de firmware.
La presentación realizada por los expertos en seguridad plantea la cuestión acerca de la posible explotación de procesadores dedicados y sistemas operativos que equipan a cualquier dispositivo conectado a un sistema. Los autores del malware pueden explotarlos para asegurar la persistencia de su código malicioso.
 |
Los investigadores de seguridad Mickey Shkatov y Jesse Michael del grupo de seguridad de Intel en una platica en la conferencia de seguridad DEF CON en Las Vegas demostraron cómo un malware que infecta una máquina podría reescribir el firmware de un popular módem Huawei LTE.
El experto explicó que el módem Huawei LTE ejecuta un sistema operativo basado en Linux, una modificación del sistema operativo Android, y está conectado con el sistema host a través de una interfaz USB interno. El uso de una interfaz USB interno significa que el módulo podría ser utilizado por los atacantes para emular un número de dispositivos conectados al sistema operativo principal, que incluye un teclado, mouse, unidad de CD-ROM, tarjeta de red, u otro dispositivo USB.
Los investigadores fueron capaces de reescribir el firmware ya que el proceso de actualización es débil, de hecho, las actualizaciones no están protegidas por firma digital ni por mecanismos de cifrado. Los dos investigadores desarrollaron su firmware malicioso y la sirvieron a través de la utilidad de actualización de Windows proporcionada por el vendedor.
Las actualizaciones pueden ser entregadas en varias formas, mediante la explotación de programas maliciosos ya que se ejecutan en el equipo de destino, o engañando a las víctimas haciéndoles creer que son parches de seguridad legítimos.
Una vez que el atacante ha reescrito el firmware que se ejecuta en el módem será capaz de mantener la infección, incluso si se vuelve a instalar el sistema operativo. Los expertos también explicaron que el firmware malicioso podría ser también instruido a hacer caso omiso de cualquier actualización de firmware posterior, en este caso, la única manera de restaurar el PC infectado es quitar el módulo de módem infectado.
Huawei arregló enseguida el tema, por medio de la introducción de un arranque seguro que bloquea el flasheo o instalación de imágenes no autorizadas de firmware.
La presentación realizada por los expertos en seguridad plantea la cuestión acerca de la posible explotación de procesadores dedicados y sistemas operativos que equipan a cualquier dispositivo conectado a un sistema. Los autores del malware pueden explotarlos para asegurar la persistencia de su código malicioso.
