ESPecter

Una minaccia malware che è stata potenzialmente in grado di evitare il rilevamento per quasi un decennio è stata finalmente catturata dai ricercatori di infosec. Scoperta da esperti di sicurezza informatica, la minaccia denominata ESPecter è un bootkit progettato per caricare driver non firmati sull'unità ESP (EFI System Partition) del sistema infetto.

I ricercatori hanno rintracciato le origini della minaccia almeno nel 2012. Durante questo periodo significativo, il cambiamento più drastico subito dal malware è il passaggio dal BIOS legacy e Master Boot Record al loro successore UEFI. L'interfaccia firmware estensibile unificata o UEFI è un componente cruciale che collega il firmware della macchina al sistema operativo.

Finora ESPecter non è stato attribuito a nessun attore di minacce specifico, a causa della mancanza di prove sufficienti. Alcuni segni trovati nei componenti della minaccia, come i suoi messaggi di debug, suggeriscono che i suoi creatori siano individui di lingua cinese. Il metodo di distribuzione utilizzato nella consegna di ESPecter è allo stesso modo sconosciuto al momento. L'autore della minaccia potrebbe utilizzare una vulnerabilità UEFI zero-day, un bug noto ma ancora senza patch, o potrebbe avere accesso fisico alle macchine mirate.

Dettagli tecnici

ESPecter si inserisce nell'ESP e ne stabilisce la persistenza tramite una patch applicata al Boot Manager di Windows. Inoltre, la patch fornisce a ESPecter la capacità di ignorare completamente i protocolli Windows Driver Signature Enforcement (DSE) e caricare i propri driver non firmati sulla macchina compromessa. La minaccia può anche iniettare componenti non sicuri aggiuntivi per stabilire una connessione al server Command-and-Control (C2, C&C) dell'attaccante.

I ricercatori hanno scoperto moduli di keylogging e furto di file sui sistemi infettati da ESPecter, indicando che l'obiettivo principale dell'autore della minaccia potrebbe essere il cyber-spionaggio e la sorveglianza degli obiettivi scelti. In effetti, ESPecter è anche dotato della funzionalità per acquisire schermate arbitrarie e memorizzarle in una directory nascosta, insieme ai registri e ai documenti chiave raccolti.

Tuttavia, per eseguire le sue attività minacciose, ESPecter ha bisogno che la funzione Secure Boot sul sistema sia disabilitata. Secure Boot è stato introdotto per la prima volta come funzionalità di Windows con il rilascio di Windows 8, quindi tutte le versioni precedenti del sistema operativo diventano automaticamente suscettibili a un attacco ESPecter. Tuttavia, l'utilizzo di una versione di Windows più recente non è sufficiente. Negli ultimi due anni sono emerse numerose vulnerabilità del firmware UEFI che consentono agli aggressori di disabilitare o aggirare completamente Secure Boot.