Praga espiã atinge firmware do PC e pode estar na ativa desde 2012

Uma abertura na tecnologia UEFI, criada para auxiliar na compatibilidade com diferentes softwares e resolver problemas relacionados à BIOS, pode estar sendo usada há quase 10 anos em operações de espionagem. É o que aponta a descoberta do ESPecter, uma praga com capacidades de registrar dados digitados no teclado e roubar documentos ao iniciar seu funcionamento antes mesmo das proteções presentes em sistemas operacionais como o Windows.

• Código-fonte e informações confidenciais da Twitch vazam na internet
• Novo ataque de ransomware compromete sistemas em apenas três horas
• China quer proibir empresas de compartilhar dados sensíveis com o exterior

É por meio desse funcionamento que o malware consegue persistir mesmo a reinicializações e dispositivos de proteção. De acordo com os especialistas da ESET, responsáveis pela descoberta da abertura, a partir da vulnerabilidade, os atacantes podem obter controle sobre o processo de boot do sistema operacional, executando drivers próprios que ultrapassam, por exemplo, sistemas de verificação do Windows e outros softwares de segurança, bem como ferramentas de hardware que garantem proteção durante tais tarefas.

Segundo o alerta dos especialistas, o ESPecter foi encontrada em uma máquina comprometida e tem registros de desenvolvimento que datam de 2012, indicando que a versão atual, que compromete plataformas UEFI, já é uma evolução em relação a versões anteriores, que também atingiam BIOS legadas. Em todos os casos, dois arquivos DLL são executados de forma direta no Windows, abrindo a capacidade de controle remoto pelos criminosos e a possibilidade de download de novos malwares.

Além da manipulação de documentos e registros de dados, o contato com o servidor também permite o envio de informações sobre o próprio sistema, assim como mudanças nas configurações e até no registro do sistema operacional. A tela pode ser monitorada por meio de screenshots enquanto, em uma capacidade disponível apenas na versão Vista do Windows, o computador pode ser reinicializado ou desligado à distância.

No estudo, os especialistas apontam que, ao realizarem os ataques, os criminosos foram capazes de desligar o sistema de boot seguro do sistema operacional, seja por meio de acesso físico ao dispositivo ou más configurações de sistemas pelo próprio usuário. A ESET também estuda a possibilidade de a abertura ser oriunda de brechas na tecnologia UEFI, seja a partir de falhas já conhecidas, em sistemas não atualizados, ou vulnerabilidades zero-day.

Apesar desse potencial destrutivo e, ainda, misterioso, os pesquisadores apontam que os indícios de efetiva utilização de aberturas desse tipo são raros, tanto no caso do ESPectre quanto de outras ameaças semelhantes. Elas normalmente estão ligadas a gangues de criminosos ligadas a entidades governamentais, daí, também, a ideia de que seu surgimento esteja relacionado a operações de espionagem e não necessariamente ataques contra usuários comuns.

É, por outro lado, uma demonstração de sofisticação e da busca por ameaças cada vez mais persistentes pelos bandidos. Enquanto mitigações específicas ainda não estão disponíveis, a ESET aponta a aplicação de atualizações em softwares e hardwares, assim como o uso de tecnologias de boot seguro e gerenciamento de contas e permissões como bons caminhos para se proteger contra esse tipo de ataque.

Fonte: ESET