Investigadores da Kaspersky alertam para rootkit desenvolvido por um grupo avançado de ameaça persistente (APT) que permanece na máquina da vítima mesmo que o sistema operativo seja reiniciado ou o Windows reinstalado – tornando-o muito perigoso a longo prazo. Denominado "CosmicStrand", este firmware UEFI rootkit foi utilizado principalmente para atacar indivíduos na China, com casos identificados também no Vietname, Irão e Rússia.

O firmware UEFI é um componente crítico na grande maioria do hardware. O seu código é responsável pelo arranque de um dispositivo, lançando o componente de software que carrega o sistema operativo. Se o firmware UEFI for modificado de alguma forma para conter código malicioso, esse código será lançado antes do sistema operativo, tornando a sua atividade potencialmente invisível às soluções de segurança e às defesas do sistema operativo. Isto, e o facto de o firmware residir num chip separado do disco rígido, torna os ataques contra o firmware UEFI excecionalmente evasivos e persistentes – porque independentemente de quantas vezes o sistema operativo for reinstalado, o malware permanecerá no dispositivo.

Os investigadores da Kaspersky apresentaram uma investigação aprofundada sobre as mais recentes novidades introduzidas no spyware FinSpy para o Windows, Mac OS, Linux e outros developers. Esta análise, que demorou oito meses a ser realizada, realça quatro níveis de ofuscação e avança medidas antianálise, promovidas por quem desenvolveu os spywares, bem como a utilização de um bootkit UEFI que infeta as suas vítimas. Os resultados da investigação enfatizam a evasão das defesas, convertendo o FinFisher num dos spywares mais difíceis de detetar e reportar até à data.

A segurança da UEFI (Interface de Firmware Extensível Unificada) tem sido um tópico importante nos últimos anos, mas, devido a várias limitações, muito pouco malware baseado em UEFI foi encontrado no passado. Depois de descobrir o primeiro rootkit UEFI em estado selvagem, conhecido como LoJax, os investigadores da ESET decidiram criar um sistema que lhes permitisse explorar o vasto cenário da UEFI de uma forma eficiente, identificando com segurança ameaças emergentes e desconhecidas da UEFI.

Encontrar malware como o LoJax é raro - existem milhões de executáveis ​​UEFI em estado selvagem e apenas uma pequena parte deles é maliciosa. Vimos mais de 2,5 milhões de executáveis ​​UEFI únicos, de um total de 6 mil milhões, apenas nos últimos dois anos”, explica Filip Mazán, engenheiro de software da ESET, que trabalhou na construção do sistema de learning-machine.