ESET ha scoperto il primo vero rootkit per UEFI, vale a dire un malware che infetta il firmware della scheda madre e non si può rimuovere né con un antivirus né reinstallando il sistema operativo; nemmeno sostituire il disco di sistema è utile. Bisogna flashare il firmware stesso, operazione tutt'altro che ovvia e ignota alla maggior parte delle persone.

Il rootkit scoperto dai ricercatori ESET si chiama LoJax ed è stato attribuito al gruppo Sednit. I ricercatori sottolineano che è la prima scoperta di questo tipo: fino a oggi i rootkit capaci di infettare un sistema UEFI erano solo esperimenti di laboratorio, oppure strumenti avanzati a disposizione di alcune agenzie governative. La scoperta dimostra quindi che si tratta di "una minaccia reale, non un semplice argomento da conferenza", come scrivono gli stessi ricercatori.

Quanto al malware, LoJax sembra ispirato a LoJack, che paradossalmente è un prodotto di sicurezza (un software antifurto per notebook). Computrace, azienda che produceva LoJack, aveva già fatto sollevare qualche sopracciglio per via della peculiare resistenza del software – molto difficile da rimuovere perché sviluppato appunto come un (legittimo) modulo UEFI.

L'installazione di LoJax, a quanto apre, passa per tre tappe successive: recupero di informazioni di basso livello sul sistema, copia del firmware, modifica del file copiato e nuovo "aggiornamento" del firmware stesso con la versione modificata. Protezioni efficaci, per il momento, includono l'uso di SecureBoot (la firma di LoJax non è formalmente corretta e non funzionerebbe).

Importantissimo poi anche usare la più recente versione di UEFI/BIOS, che includa gli ultimi aggiornamenti di sicurezza. È da rilevare comunque che il problema riguarda solo i chipset più datati. Gli Intel della serie 5 (2008) e successivi sono immuni da LoJax.

Quanto al metodo per la prima infezione, gli esempi disponibili non sono sufficienti a fare una statistica. I tecnici di ESET hanno però rilevato che esistono strumenti per l'attacco remoto: indurre il bersaglio a cliccare un link o aprire un file potrebbe essere sufficiente ad avviare l'infezione.

Per il momento "la campagna LoJax mostra che i bersagli di alto livello sono i candidati principali per lo sviluppo di minacce rare, persino uniche. Questi bersagli dovrebbero essere fare sempre attenzione a segnali che indichino la possibile compromissione del sistema".

In altre parole, per ora questo tipo di minaccia si può considerare esotico, e si può pensare che siano strumenti usati solo per colpire bersagli specifici con azioni mirate. Con il tempo tuttavia sviluppare questi sistemi potrebbe diventare più semplice ed economico, fenomeno che aprirebbe la porta a una diffusione di massa.

---