O spyware do Remote Control System (RCS) desenvolvido pela equipe de hackers continha um rootkit de BIOS pré-carregado para a UEFI (Unified Extensible Firmware Interface), permitindo que ele se escondesse nos sistemas infectados.
A infecção invisĂvel foi revelada apĂłs o cĂłdigo-fonte vazado do malware da empresa na semana passada. O Sistema de Controle Remoto (RCS) permaneceu em computadores infectados, mesmo que seus proprietários estivessem formatando ou alterando completamente o disco rĂgido.
Embora o spyware tenha sido projetado principalmente para o Insyde BIOS (um BIOS popular para laptops), ele pode funcionar sem problemas em um BIOS AMI, de acordo com a empresa de segurança Trend Micro.
Um PowerPoint vazado da Equipe de Hacking diz que a infecção inicial parece exigir acesso fĂsico aos sistemas direcionados. No entanto, isso pode ser feito com outras tĂ©cnicas, diz a Trend Micro, apĂłs uma análise preliminar da apresentação vazada, bem como um exame da ferramenta BIOS do rootkit da Hacking Team.
“Uma apresentação dos slides da Equipe de hackers alega que uma infecção bem-sucedida requer acesso fĂsico ao sistema de destino. No entanto, nĂŁo podemos descartar a possibilidade de instalação remota “, escreve Philippe Lin, engenheiro sĂŞnior da Trend Micro.
“Um cenário de ataque, por exemplo, seria: o invasor acessa o computador de destino, reinicia o shell UEFI, baixa o BIOS e o instala com o rootkit do BIOS, pisca o BIOS novamente e reinicia o sistema. objetivo. “
O UEFI SecureFlash pode oferecer medidas preventivas contra esses ataques, atualizando o BIOS sempre que houver uma versão de segurança atualizada e definindo uma senha para o BIOS ou UEFI, relata a Trend Micro.
O firmware da placa-mĂŁe Ă© um alvo muito atraente para hackers, porque Ă© fácil de hackear, a infecção permanece invisĂvel e geralmente impossĂvel de remover.
