Caro leitor como você deve ter acompanhado ontem aqui no Hardware, publicamos as primeiras informações sobre o LightEater, uma ameaça que ataca diretamente a BIOS dos computadores. A ameaça foi divulgada por dois pesquisadores durante um evento em Vancouver, depois de gerar bastante repercussão com a publicação dessa notícia, resolvemos ir atrás desse caso para recolher novas informações. Infelizmente pouca coisa pode ser dita, já que os pesquisadores querem vender a solução do problema para as fabricantes de placas-mãe, então tudo que envolve a resolução do problema, ainda está meio oculto. Mas vamos as novidades sobre o problema:
Os pesquisadores Xeno Kohavh e Corey Kallember souberam muito bem como “vender o peixe”, para promover e causar um verdadeiro boom em relação a essa ameaça, durante a apresentação deles no CanSecWest em Vacouver no Canadá, eles mostraram com naturalidade como seria fácil uma pessoa sem conhecimentos avançados poderia instalar a ameaça na máquina tendo acesso físico a ela. Essa foi a primeira grande incognita que ficou no ar, quando publicamos o texto ontem, a ameaça só pode er instalada com o acesso físico? E indo a fundo sobre o problema, descobrimos que também pode ser feito remotamente, por exemplo injetando o código malicioso através de um e-mail ou página da web (phishing). Mas para o acesso remoto ser realizado é necessário que o alvo conte com a UEFI BIOS, porque o código malicioso irá forçar a atualização da BIOS, para as BIOS mais antigas tudo deverá ser feito via acesso físico, os pesquisadores disseram que para a instalação da amaeaça bastaria utilizar um conector na BIOS da placa e em seguida instalar o rootkit. Segundo Kohavh e Kallember a transação da amaeaça para a BIOS demora menos de dois minutos para ser concluida. E com a falha os atacantes conseguem se beneficiar de uma vulnerabilidade na BIOS e criar um System Management Mode (SMM) e então escrever novas instruções no Kernel da BIOS.
A facilidade na instalação da ameaça, tem um motivo bem revelador e que une as informações dos pesquisadores, de acordo com os autores desse inquérito, este tipo de ameaça poderia por exemplo ser implantado em determinados postos na fronteira ou aeroportos por agências de inteligência. Mas como que os dois pesquisadores tem acesso a tudo isso? Simples, os dois já fizeram parte do Departamento de Defesa e outras agências federais dos Estados Unidos, antes de fundarem a própria empresa de segurança a LegbaCore.
Durante a apresentação os dois pesquisadores relataram que foram capazes de encontrar a vulnerabilidade em 80% dos computadores que examinaram, incluindo marcas como Dell, HP e Lenovo. Tanto a Dell como a Lenovo já declararam que irão corrigir as vulnerabilidades expostas pelos pesquisadores.
O processo de contaminação é tão fácil, que os dois pesquisadores conseguiram criar um script para automatizar o processo , tornando ainda mais fácil a execução da ameaça. O grande X do problema realmente é o SMM, mas também uma falha na arquitetura x-86 e x-64 da Intel. Nestas arquiteturas o System Management Mode ( SMM) sempre lê o acesso a todos os locais de memória, e dessa forma o malware pode secretamente abusar do SMM para ler o conteúdo da memória do computador afetado e extrair dados criptogradados. Os velhos planos da NSA!
Com esse acesso a memória, até sistemas operacionais supostamente seguros, estão na linha de frente do problema. Por exemplo o Tails, que foi utilizado por Edward Snowden para se manter em contato com Glenn Glennward o jornalista do The Guardian que divulgou os primeiros podres da NSA com informações de Snowden. De acordo com os pesquisadores o malware é capaz de acessar as chaves PGP utilizadas pelo Tails para a comunicação criptografada. Quando o Tails está desativado, ele simplesmente apaga todos os rastros da memória, mas o malware é tão astuto que consegue recuperar os dados antes de serem excluídos.
Entramos em contato com a ASUS, e eles nos disseram que ainda não possuem informações concretas sobre o caso, e por enquanto nenhum patch está sendo aplicado, mas com toda a repercussão do caso isso já está sendo observado por eles, caso nos passem alguma nova informação, divulgaremos aqui no Hardware.
Os gurus da Kaspersky Lab, acertaram em cheio quando disseram que boa parte das contaminações começaria a vir em grande parte a visar a parte física do computador, há dois anos Snowden já alertava a todos sobre esses estudos referentes a ameaça para BIOS, o que estamos vendo agora com as infecções nos HDs e BIOS só reforça o que já foi relatado inúmeras vezes.
Veja também
Sobre o Autor
Deixe seu comentário