Ocultar programas maliciosos en el firmware UEFI de una computadora, el código profundamente arraigado que le dice a una PC cómo cargar su sistema operativo, se ha convertido en un truco insidioso en el conjunto de herramientas de los piratas informáticos sigilosos. Pero cuando un fabricante de placas base instala su propia puerta trasera oculta en el firmware de millones de computadoras, y ni siquiera coloca un candado adecuado en esa entrada trasera oculta, prácticamente están haciendo el trabajo de los piratas informáticos por ellos.
Investigadores de la empresa de ciberseguridad centrada en firmware Eclypsium revelaron hoy que descubrieron un mecanismo oculto en el firmware de las placas base vendidas por el fabricante taiwanés Gigabyte, cuyos componentes se usan comúnmente en PC para juegos y otras computadoras de alto rendimiento. Cada vez que se reinicia una computadora con la placa base Gigabyte afectada, descubrió Eclypsium, el código dentro del firmware de la placa base inicia de manera invisible un programa de actualización que se ejecuta en la computadora y, a su vez, descarga y ejecuta otra pieza de software.
Si bien Eclypsium dice que el código oculto está destinado a ser una herramienta inocua para mantener actualizado el firmware de la placa base, los investigadores descubrieron que se implementa de manera insegura, lo que podría permitir que el mecanismo sea secuestrado y utilizado para instalar malware en lugar del programa previsto por Gigabyte. Y debido a que el programa de actualización se activa desde el firmware de la computadora, fuera de su sistema operativo, es difícil para los usuarios eliminarlo o incluso descubrirlo.
“Si tiene una de estas máquinas, debe preocuparse por el hecho de que básicamente toma algo de Internet y lo ejecuta sin que usted esté involucrado, y no ha hecho nada de esto de manera segura”, dice John Loucaides, quien dirige la estrategia. e investigación en Eclypsium. “El concepto de pasar por debajo del usuario final y hacerse cargo de su máquina no le sienta bien a la mayoría de las personas”.
En su publicación de blog sobre la investigación, Eclypsium enumera 271 modelos de placas base Gigabyte que, según los investigadores, están afectados. Loucaides agrega que los usuarios que desean ver qué placa base usa su computadora pueden verificar yendo a «Inicio» en Windows y luego a «Información del sistema».
Eclypsium dice que encontró el mecanismo de firmware oculto de Gigabyte mientras revisaba las computadoras de los clientes en busca de código malicioso basado en firmware, una herramienta cada vez más común empleada por piratas informáticos sofisticados. En 2018, por ejemplo, se descubrió que los piratas informáticos que trabajaban en nombre de la agencia de inteligencia militar GRU de Rusia instalaron silenciosamente el software antirrobo basado en firmware LoJack en las máquinas de las víctimas como una táctica de espionaje. Los piratas informáticos patrocinados por el estado chino fueron descubiertos dos años después reutilizando una herramienta de spyware basada en firmware creada por la firma de hackers contratados Hacking Team para apuntar a las computadoras de diplomáticos y personal de ONG en África, Asia y Europa. Los investigadores de Eclypsium se sorprendieron al ver que sus escaneos de detección automatizados marcan el mecanismo de actualización de Gigabyte por llevar a cabo algunos de los mismos comportamientos turbios que esas herramientas de piratería patrocinadas por el estado: ocultarse en el firmware e instalar silenciosamente un programa que descarga código de Internet.
El actualizador de Gigabyte por sí solo podría haber despertado la preocupación de los usuarios que no confían en que Gigabyte instale silenciosamente el código en su máquina con una herramienta casi invisible, o que se preocupen de que los piratas informáticos puedan explotar el mecanismo de Gigabyte y comprometer al fabricante de la placa base para explotar su acceso oculto en un ataque a la cadena de suministro de software. Pero Eclypsium también descubrió que el mecanismo de actualización se implementó con vulnerabilidades evidentes que podrían permitir que fuera secuestrado: descarga el código en la máquina del usuario sin autenticarlo correctamente, a veces incluso a través de una conexión HTTP desprotegida, en lugar de HTTPS. Esto permitiría que la fuente de la instalación sea suplantada por un ataque man-in-the-middle llevado a cabo por cualquier persona que pueda interceptar la conexión a Internet del usuario, como una red Wi-Fi no autorizada.