Lojax: cuando el corazón del PC está en peligro

Presentemos al primer protagonista de nuestra particular historia. El grupo APT28 saltó a la fama cuando lograron hackear los sistemas del Partido Demócrata de Estados Unidos, pero su amenaza fue mucho más allá. Máxime si tenemos en cuenta su supuesta vinculación a la Dirección de Inteligencia Militar (GRU) del gobierno ruso. También conocido como Fancy Bear o Sednit, estos ciberdelincuentes han atacado tanto al sector aeroespacial, como al de defensa, pasando por la energía, gobiernos, medios y activistas rusos.

Su actividad se remonta a 2004 y, en ese tiempo, han empleado numerosas tecnologías para infectar a sus objetivos. Pero si algo les ha caracterizado, por encima de cualquier cosa, es la creación de kits de ataques, herramientas que permitan automatizar parte de las campañas y focalizar diferentes objetivos de manera personalizada sin tener que contar con ingentes recursos técnicos y humanos.

Añadamos al cóctel el segundo ingrediente de nuestra no tan deliciosa bebida. Lojack es una herramienta de Absolute Software que permite evitar la intrusión de terceros en un dispositivo que hayamos perdido. También permite su localización, bloqueo e incluso la recuperación de la información comprometida. Se trata de una herramienta muy útil, tanto que viene incorporada de fábrica en muchos ordenadores de marcas como HP o Dell.

Para garantizar todas sus capacidades, este software no viene instalado en el disco duro del equipo, sino que se carga directamente desde la UEFI, un estándar de interfaz para firmware, en la BIOS, incluso antes de que se inicie el sistema operativo de turno.  De esta manera, los creadores del sistema buscaban evitar que los ladrones pudieran borrar el servicio al formatear o cambiar la unidad de memoria del PC, además de asegurarse de que siempre que se encienda el ordenador, éste ejecutará un archivo que se conecta a un servidor remoto de Lojack desde el que monitorizar su estado.

 Hasta aquí dos antagonistas de libro, los ciberdelincuentes y una herramienta dirigida a evitar que los tengan éxito en sus robos de dispositivos móviles. Pero, ¿qué pasa si unimos ambas historias en un relato común? Efectivamente: la crónica de un desastre anunciado.

Y es que, al parecer era relativamente sencillo modificar el servidor de destino al que se conecta Lojack, de modo que un ciberdelincuente con malos pensamientos podía convertir esta supuesta herramienta de seguridad en un arma persistente, protegida y difícil de detectar con la que acceder a los equipos. Esta vulnerabilidad original fue planteada de forma teórica y solventada -al menos eso se creía-en 2009. Sin embargo, los genios detrás de APT28 fueron capaces de explotar este agujero al aprovechar algunos de los dominios de comando y control utilizados en 2017 para las puertas traseras de la campaña SedUploader, también autoría de estos señores del mal digital.

Alexis Dorais-Joncas (líder de investigación en el laboratorio de ESET en Montreal) explica que "lo primero que hacían los hackers era utilizar una herramienta de acceso común que permitía saber el tipo de BIOS y la versión de firmware con que contaba el equipo objetivo. Después, otro ejecutable se encargaba de volcar el contenido del firmware para, finalmente, infectar la imagen con un rootkit de UEFI y obtener acceso completo al sistema". 

Ataque complejo

Irónico resulta que, especialmente tras el descubrimiento de este problema, existen mecanismos que evitan reescribir el código de la BIOS o modificar las partes más sensibles de la UEFI. La pregunta entonces es obligada: ¿cómo consiguieron los ciberdelincuentes explotar un agujero ya conocido y supuestamente corregido? La respuesta, de nuevo, nos devuelve a las realidades de mercado y el caos de la heterogeneidad de fabricantes. Así pues, mientras algunas marcas de PC han adoptado estas medidas, otros proveedores olvidan incluir algunas configuraciones de seguridad básica en el corazón de sus equipos. El investigador de ESET no ha querido concretar qué empresas concretas están afectadas por esta amenaza.

Los investigadores han catalogado a la criatura objeto de esta rocambolesca historia como Lojax, el cual ya está considerado como el primer rootkit que ha logrado pasar del papel a la realidad. "Se sabía que existía este problema, pero nosotros hemos encontrado casos reales de su uso", presume Dorais-Joncas. Por el momento, los datos demuestran solo unas pocas compañías afectadas, principalmente en el centro y este de Europa, pero la gravedad radica en el tipo de organizaciones afectadas: las entidades militares y diplomáticas son los claros objetivos de APT28. Y una vez infectados, la única salida es resetear la UEFI del equipo... o tirarlo.

Preocupa también, en opinión del experto de ESET, la progresiva sofisticación de la amenaza. "Este primer ataque era demasiado básico, con muchos pasos manos y el uso de demasiados mecanismos para llegar a buen puerto. Pero en un futuro podríamos hablar de un kit que automatizara las infecciones de este tipo y que pudiera personalizar cada ataque por sí mismo", alertan los expertos.