Nascondere programmi dannosi nel firmware Uefi di un computer – il codice che indica al pc come caricare il sistema operativo – è ormai una delle strategie più insidiose a disposizione dei cybercriminali. Ma quando è un produttore di schede madri a installare una backdoor nascosta nel firmware di milioni di computer – senza nemmeno proteggerla adeguatamente – l’azienda sta praticamente facendo il lavoro al posto dei criminali informatici.
Il 31 maggio i ricercatori della società di cybersicurezza specializzata in firmware Eclypsium hanno rivelato di aver trovato un meccanismo nascosto nel firmware delle schede madri vendute dal produttore taiwanese Gigabyte, i cui componenti sono comunemente utilizzati nei pc da gaming e in altri computer ad alte prestazioni. Eclypsium ha scoperto che ogni volta che un computer con la scheda madre di Gigabyte si riavvia, un comando all’interno del firmware della scheda madre avvia in segreto un programma di aggiornamento che viene eseguito sul computer e a sua volta scarica ed esegue altri software.
Nonostante Eclypsium dichiari che il codice nascosto era pensato per essere uno strumento innocuo, usato per mantenere aggiornato il firmware della scheda madre, i ricercatori hanno scoperto che è implementato in modo non sicuro, e che potenzialmente è possibile sabotare il meccanismo utilizzandolo per installare un malware invece del programma previsto da Gigabyte. Dal momento che il programma di aggiornamento viene attivato dal firmware del computer al di fuori del sistema operativo, inoltre, per gli utenti è difficile rimuoverlo o anche solo scoprirne l’esistenza. “Se possedete una di queste macchine, dovete preoccuparvi dalla possibilità che prenda qualcosa da internet e lo esegua senza il vostro coinvolgimento, facendo tutto questo in modo non sicuro”, spiega John Loucaides, responsabile della strategia e della ricerca di Eclypsium.
In un post sul suo blog aziendale, Eclypsium elenca i 271 modelli di schede madri Gigabyte che, secondo i ricercatori, contengono la backdoor. Loucaides aggiunge che per capire quale scheda madre sia utilizzata sul loro computer, gli utenti Windows possono andare su “Avvio” e poi su “Informazioni di sistema”.
Eclypsium riporta di aver individuato il meccanismo del firmware nascosto di Gigabyte mentre setacciava i computer dei suoi clienti alla ricerca di codice dannoso basato sul firmware, uno strumento utilizzato sempre più di frequente dai criminali informatici. Nel 2018, per esempio, si è scoperto che alcuni cybercriminali che lavoravano per l’agenzia di intelligence militare russa Gru installavano in segreto LoJack, un software antifurto basato su firmware, sui computer delle vittime per spiarli. Due anni dopo, alcuni criminali informatici sostenuti dallo stato cinese sono stati scoperti mentre adattavano uno spyware basato su firmware creato dalla società Hacking Team per colpire i computer di diplomatici e dipendenti di Ong in Africa, Asia ed Europa. Con loro sorpresa, i ricercatori di Eclypsium hanno constatato che il meccanismo di aggiornamento di Gigabyte metteva in atto alcuni degli stessi comportamenti sospetti usati da questi strumenti di attacco informatico, nascondendosi nel firmware e installando un programma che scarica codice da internet.
Leggi tutto su www.wired.it
di Andy Greenberg www.wired.it 2023-06-01 12:51:26 ,
