Enemigo interno: el malware instalado en la UEFI.

Los ciber delincuentes están siempre a la orden del día, listos para atacar nuestros sistemas operativos y ordenadores para intentar dañarnos (o amenazarnos con ello para obtener un rédito económico). Usualmente, podemos creer que es sencillo liberarnos de los programas espías u otros intentos de atacarnos que pueden utilizar. Sin embargo, a veces no es así. Por eso, hoy queremos hablarte de los malware desde otro punto de vista: malware como enemigo interno.

¿Qué es un malware?

En numerosas ocasiones nos hemos referido a este tema. Aún así, nunca está de más recordarlo, tanto para los lectores que nos acompañan desde hace tiempo como para quienes recién llegan aquí. Malware es un término colectivo que utilizamos para referirnos a un conjunto de variantes de software malicioso. Bajo este término podemos incluir tanto a virus, ransomware y diferentes software espías. En resumen, usamos la palabra malware para referirnos a software que ha sido desarrollado por ciberdelincuentes o atacantes, con el objetivo de provocar daño extensivo a la información y a nuestros ordenadores, o a ganar acceso autorizado a una red.

¿A qué nos referimos a que el malware funciona como un enemigo interno?

La UEFI, el sistema presente en la mayoría de los ordenadores, está almacenado en la propia placa base. Su función es la de iniciar el sistema, al tiempo que prepara todo el hardware para el momento en que se inicie el sistema operativo que tengamos instalado (Windows, Linux, etc).

La novedad es que, hace apenas un par de semanas, se descubrió un nuevo malvare con un comportamiento atípico: se preinstala en la UEFI. Esto tiene como consecuencia que pueda infectar nuestro sistema operativo así se formatee el disco duro.

¿Cómo funciona este malware como enemigo interno?

La forma de atacar de este nuevo malware es la siguiente: busca en nuestro disco duro, donde tengamos instalado Windows, si existe el archivo IntelUpdate.exe. La función de este archivo es participar de un complejo programa de vigilancia y espionaje, enlazado a la red de los delincuentes. Si el archivo no existe, el malware de la UEFI lo copia a nuestro disco.

Como consecuencia, no tiene sentido eliminarlo o formatear el disco rígido, ya que el malware volvería a instalar el programa malicioso.

¿Dónde ha aparecido este nuevo malware?

Momentáneamente, podemos decir que estamos a salvo, ya que este nuevo malware ha sido descubierto en dispositivos pertenecientes a diplomáticos asiáticos. Esto hace pensar que se trata de un objetivo muy específico y de un ataque realizado con un fin particular.

Debemos tener en cuenta que, para que este ataque tenga éxito, hace falta un acceso físico a la placa base del portátil, para que el chip firmware sea modificado. Por el momento, no se sabe cómo se logró modificar el firmware del chip en donde se almacena la UEFI.

Sin embargo, este ataque podría llegar a hacerse más masivo, por ejemplo, si saliera a la venta una serie o un lote de ordenadores que ya viniera infectado, o si se modificara un conjunto de portátiles que van, como en este caso, dirigidos a ser poseídos por un grupo específico de personas.

Algo similar había sucedido ya en el año 2014. Un chip antirrobo preinstalado en muchos equipos, de Absolute Computrace, tenía la supuesta función de poder localizar y desactivar remotamente los ordenadores que hubieran sido robados. Esto parecía muy práctico, al menos en un primer momento. Sin embargo, el problema surgió cuando se comprobó que el módulo había sido modificado: ahora se comunicaba con servidores de los atacantes, y afectaba la UEFI. Quien realizó esta modificación fue un grupo de hackers del gobierno ruso, conocido como Fancy Bear.

¿Qué podemos hacer para protegernos de los malware?

Lo cierto es que si bien este tipo de ataque es poco común, siempre hay delincuentes que están preparándose, con nuevo software malicioso listo para entrar en acción. Por suerte, hay varias cosas que podemos hacer para prevenir caer bajo un ataque. Desde Interbel, te recomendamos probar Security Gateway, de forma totalmente gratuita.