Home InformáticaSeguridad Fancy Bear contra las UEFIs, el Rootkit de los rusos

Fancy Bear contra las UEFIs, el Rootkit de los rusos

Por Jaume Bolo

La compañía de seguridad Eset (muchos la conoceréis por el Nod32) ha descubierto esta misma semana un nuevo malware creado por el grupo de ciberespionaje ruso de Fancy Bear (también conocidos como Sofacy Group, APT28 o STRONTIUM entre otros).

Las UEFIs de casi todos los portátiles (concretamente más de un 60%) vienen con un pequeño software instalado llamado “Computrance Lojack” cuyo objetivo es mantener una comunicación constante con una autoridad central con el único objetivo de que en caso de robo esta autoridad pueda explorar, limpiar y geolocalizar nuestro sistema.

Fancy Bear aprovecha una vulnerabilidad en Computrance Lojack para instalar el rootkit y tomar así el control del equipo a partir de la UEFI lo que hace que se quede abierta permanentemente una puerta trasera para que ellos puedan entrar y controlar nuestro PC.

El problema real de este malware no es que sea un Rootkit en sí, pues hay multitud de ellos para todas las plataformas, el problema real es demasiado complicado de localizar y de limpiar al alojarse en la UEFI.  Además los chicos rusos no son nada estúpidos y han hecho que aunque se limpie cuando se reinicie el PC o se borre el rootkit este se volverá a descargar el mismo a la UEFI de nuevo.

Para desinstalarlo habría que reinstalar el firmware de la UEFI de nuevo para dejarla de fábrica, o incluso, dependiendo del modelo, tendríamos hasta que reinstalar la placa base. Pero claro, lo primero será detectarlo y suerte con encontrar un antivirus que le detecte.

Por suerte para vosotros (o no) Fancy Bear suele elegir objetivos geopolíticos para atacar, tales como gobiernos, organizaciones internacionales, contratistas de defensa y objetivos del estilo, por lo que la mayoría de nosotros no va a tener problemas con este malware.

Fancy Bear

La empresa encargada de Lojack, Computrance ya ha sido avisada y están trabajando en ello, cosa que no será fácil, esperemos que no tarden demasiado en obtener el parche de seguridad necesario para solucionar está vulnerabilidad.

You may also like

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.