Sicurezza e Privacy

Cybersecurity: ritorna il malware che non va via neanche se formatti

di Giancarlo Calzetta

(putilov_denis - Fotolia)

2' di lettura

Una volta c'era l'ultima spiaggia della sicurezza informatica: se il computer è infestato da virus, l'unica soluzione sicure è quella di formattare tutto e reinstallare da zero. Poi sono arrivati i rootkit, malware che andavano a installarsi direttamente nel Bios, attivandosi prima del caricamento di Windows stesso. Strisciando a un livello più basso di Windows, erano praticamente impossibili da identificare in maniera diretta. L'unica soluzione era di riprogrammare la scheda madre del computer con un BIOS pulito e poi reinstallare tutto. Ma il timore che un altro rootkit prendesse il controllo del computer era sempre presente. Per questo, qualche anno fa, si è scelto di abbandonare i vecchi BIOS e passare a EUFI, un sistema più sicuro, in grado di impedire l'accesso ai malware.

Purtroppo, con il passare degli anni sono state scoperte delle vulnerabilità, falle sottili e difficili da sfruttare che avrebbero potuto segnare il ritorno dei rootkit. E così è stato.

Loading...

I ricercatori di ESET hanno recentemente scoperto una campagna di spionaggio, condotta dal gruppo di cybercriminali Sednit, che fa proprio uso di un rootkit in grado di installarsi su computer che usano EUFI.

Il gruppo Sednit è conosciuto (e famigerato) nell'ambiente della sicurezza informatica anche con altri nomi: APT28. Sofacy, Stronzium e Fancy Bear. Sembra essere operativo dal 2004 ed è il maggior indiziato in molte iniziative di grande risonanza mediatica, come l'attacco al Democrati National Commitee del 2016, l'hacking del network televisivo di TV5Monde, la diffusione delle e-mail riservate rubate all'agenzia mondiale antidoping e così via.

Le loro capacità tecniche sono evidentemente molto elevate e gli esperti di ESET hanno rilevato che questo gruppo è riuscito a infilare del codice malevolo in un modulo UEFI. In questo modo, l'infezione resiste sia alla formattazione del disco, sia alla sua sostituzione e riuscire a scoprire il vettore d'attacco diventa molto complicato dato che i rootkit sono quasi invisibili alle normali analisi di sicurezza.

Le conseguenze per la maggior parte di cittadini e imprese sono minime. Portare questo tipo di attacco è molto complicato ed è quasi certamente riservato a bersagli molto specifici. Il problema è che non è possibile sapere contro chi verrà usato: si spazia da una grande azienda fino a enti governativi, passando per piccole aziende che trattano dati estremamente sensibili o semplici fornitrici di società più importanti.

In ogni caso, per mettersi al sicuro basta seguire due regole molto importanti, anche se non alla portata di tutti: aggiornare tutti gli UEFI all'ultima versione, in quanto le vulnerabilità sfruttate finora sono presenti solo in vecchie versioni, e abilitare il Secure Boot, un sistema che permette di scrivere nell'UEFI solo se si ha un certificato di identità digitale autorizzato.

Riproduzione riservata ©

loading...

Brand connect

Loading...

Newsletter

Notizie e approfondimenti sugli avvenimenti politici, economici e finanziari.

Iscriviti