LoJax, il primo rootkit UEFI attribuito al gruppo hacker Sednit che infetta il computer
I rootkit EFI sono ampiamente considerati strumenti estremamente pericolosi per l’implementazione di cyberattacks, in quanto sono difficili da individuare e in grado di sopravvivere a misure di sicurezza come la reinstallazione del sistema operativo e persino la sostituzione di un disco rigido. Alcuni rootkit UEFI sono noti per essere a disposizione di (almeno alcuni) enti governativi. Tuttavia, nessun rootkit UEFI è mai stato rilevato in natura – fino a quando non è stata scoperta una campagna del gruppo Sednit APT che ha implementato con successo un modulo UEFI dannoso sul sistema di una vittima.
I ricercatori di ESET, in occasione del Microsoft BlueHat 2018 hanno presentato i risultati di una ricerca che illustra le caratteristiche di LoJax, un rootkit in grado di installarsi su computer che usano EUFI, l’interfaccia firmware predefinita per PC che ha sostituito l’ambiente BIOS. In questo modo l’infezione resiste sia alla formattazione del disco, sia alla sua sostituzione.
Il codice malevolo è stato attribuito al gruppo hacker Sednit, definito anche con altri alias come APT28, Sofacy, Stronzium e Fancy Bear. Il gruppo criminale è già conosciuto per attacchi al governo tedesco e per aver progettato la botnet VPNFilter.
Cosa è il rootkit loJax
LoJax deriva in realtà da LoJack di Absolute Software, un programma pensato per rintracciare il portatile in caso di furto.
Attualmente si trova preinstallato nel firmware di un gran numero di laptop di vari produttori. Essendo un antifurto, il software veniva implementato come un modulo UEFI / BIOS, in modo da sopravvivere alla reinstallazione del sistema operativo o alla sostituzione del disco rigido.
Il gruppo APT-28 ha quindi pensato di sfruttare la caratteristica di persistenza di LoJack per trasformarlo nel 2016 in un trojan e in un rootkit nel 2018 (LoJax).
Sui sistemi attaccati da LoJax, sono stati trovati tre diversi tools in grado di accedere e modificare le impostazioni di UEFI / BIOS, sfruttando un driver del kernel (RwDrv.sys), fornito con uno strumento gratuito chiamato RWEverything.
Il primo di questi tools scarica informazioni sulle impostazioni di sistema in un file di testo, utilizzato per bypassare le protezioni che impediscono l’aggiornamento del firmware. Il secondo strumento salva in un file l’immagine del firmware contenuta nella memoria flash SPI del UEFI / BIOS. Il terzo strumento aggiunge all’immagine del firmware un modulo UEFI contenente il rootkit e scrive tale immagine modificata nella memoria flash SPI. L’attacco ha successo solo se la macchina è configurata in modo errato o se non sono state abilitate le protezioni in scrittura della memoria flash SPI.
La figura seguente mostra il “decision tree” del processo di scrittura: se la piattaforma consente le operazioni di scrittura (BIOS Write Enable = 1) sulla memoria flash SPI, l’attacco procederà direttamente con la scrittura dell’immagine contenente il codice malevolo, altrimenti verrà sfruttata la vulnerabilità nota.
L’attacco termina con l’iniezione del malware sulla partizione del sistema operativo Microsoft Windows e l’esecuzione dello stesso ad ogni avvio.
La diffusione del rootkit Lojax
Le indagini di ESET dimostrerebbero che Fancy Bear avrebbe usato Lojax per colpire alcuni obiettivi nei Balcani e in centro Europa. Le conseguenze per la maggior parte di cittadini e imprese sono minime, in quanto sembra che gli hacker di Fancy Bear utilizzino Lojax solo per gli attacchi diretti a destinatari ben precisi come grandi aziende ed enti governativi, ma non è escluso che tali attacchi possano interessare altri e più estesi ambiti.
I collegamenti con il gruppo Sednit APT
Come accennato in precedenza, alcuni dei server C&C LoJax sono stati utilizzati in passato da SedUploader, una backdoor di primo livello utilizzata abitualmente dagli operatori Sednit. In effetti, i sistemi mirati da LoJax di solito mostravano anche i segni di questi tre esempi di malware Sednit:
- SedUploader, una backdoor di primo livello
- XAgent, la porta sul retro dell’ammiraglia Sednit
- Xtunnel, uno strumento proxy di rete in grado di trasmettere qualsiasi tipo di traffico di rete tra un server C&C su Internet e un computer endpoint all’interno di una rete locale.
Come difendersi da Lojax
Per mettersi al sicuro da LoJax si consiglia di seguire i seguenti accorgimenti:
- aggiornare tutti gli UEFI all’ultima versione, in quanto le vulnerabilità sfruttate finora sono presenti solo in vecchie versioni;
- abilitare il SecureBoot, il sistema che permette di scrivere nell’UEFI solo se si ha un certificato di identità digitale autorizzato.
Indicatori di compromissione /malware-ioc
ReWriter_read.exe
ESET detection name
- Win32/SPIFlash.A
SHA-1
ea728abe26bac161e110970051e1561fd51db93b
ReWriter_binary.exe
ESET detection name
- Win32/SPIFlash.A
SHA-1
cc217342373967d1916cb20eca5ccb29caaf7c1b
SecDxe
ESET detection name
- EFI/LoJax.A
SHA-1
f2be778971ad9df2082a266bd04ab657bd287413
info_efi.exe
ESET detection name
- Win32/Agent.ZXZ
SHA-1
4b9e71615b37aea1eaeb5b1cfa0eee048118ff72
autoche.exe
ESET detection name
- Win32/LoJax.A
SHA-1
-
700d7e763f59e706b4f05c69911319690f85432e
Small agent EXE
ESET detection names
- Win32/Agent.ZQE
- Win32/Agent.ZTU
SHA-1
1771e435ba25f9cdfa77168899490d87681f2029
ddaa06a4021baf980a08caea899f2904609410b9
10d571d66d3ab7b9ddf6a850cb9b8e38b07623c0
2529f6eda28d54490119d2123d22da56783c704f
e923ac79046ffa06f67d3f4c567e84a82dd7ff1b
8e138eecea8e9937a83bffe100d842d6381b6bb1
ef860dca7d7c928b68c4218007fb9069c6e654e9
e8f07caafb23eff83020406c21645d8ed0005ca6
09d2e2c26247a4a908952fee36b56b360561984f
f90ccf57e75923812c2c1da9f56166b36d1482be
C&C server domain names
secao.org
ikmtrust.com
sysanalyticweb.com
lxwo.org
jflynci.com
remotepx.net
rdsnets.com
rpcnetconnect.com
webstp.com
elaxo.org
C&C server IP addresses
185.77.129.106
185.144.82.239
93.113.131.103
185.86.149.54
185.86.151.104
103.41.177.43
185.86.148.184
185.94.191.65
86.106.131.54
Small agent DLL
In this section, we list only the DLL for which we never obtained the corresponding EXE
ESET detection name
- Win32/Agent.ZQE
SHA-1
397d97e278110a48bd2cb11bb5632b99a9100dbd
C&C server domain names
elaxo.org
C&C server IP addresses
86.106.131.54
Credits: Welivesecurity – Cert-Pa