Nuevo malware Rakshasa: ¿El demonio que no puede ser expulsado?

Tras haber asistido a las conferencias Blackhat y Defcon, son muchos los temas relacionados en seguridad informática que tenemos pendientes de analizar. La información acumulada en apenas una semana da para muchos posts y es por eso que queremos ir profundizando en aquellos temas que más nos impactaron o que pueden tener mayor repercusión en las próximas semanas. Una de las interesantes charlas que se vimos en Blackhat fue la que ofreció el investigador Jonathan Brossard y que nuestro compañero David Harley ha comentado en el blog de eset.com y que ha continuación hemos traducido y adaptado para nuestros seguidores.

Desde siempre han existido conjeturas persistentes en cuanto a la posibilidad de obtener puertas traseras usando el hardware, incluso bastante antes de que muchos de nosotros entrásemos a trabajar en esta industria.

Por lo tanto, no es novedad que alguien pueda realizar algo inesperado modificando la BIOS en origen. Recordemos por ejemplo el “virus” ‘Welcome Datacomp’. Estas palabras aparecía en documentos creados por usuarios de Mac sin que ellos las hubiesen escrito. Esa “broma” estaba insertada en la ROM de un teclado compatible con Mac creado por una tercera empresa (Sicon si no recordamos mal). No sabemos cuántos de esos teclados se vieron afectados pero hubo algunos informes al respecto a comienzos de los 90). A pesar de lo trivial del asunto (imaginémonos teniendo que ir en busca de un teclado que no haya sido troyanizado, muy molesto, sin duda), demostró que la instalación de puertas traseras en el hardware era efectivo ya hace mucho tiempo.

Tal vez, lo importante aquí es que, si empezamos a sentiros paranoicos y desconfiar del hardware, no deberíamos importarlo alegremente desde otros países basándonos únicamente en lo barato que resulta.

En cualquier caso y a menos que se importe desde un país en el que se confíe plenamente (cosa que dudamos EE.UU. haga con China) está máxima debería cumplirse siempre que fuera posible. Como las políticas internacionales no son nuestro fuerte, mejor pasamos a lo que realmente entendemos: puertas traseras en hardware.

Si controlas la parte inicial de la cadena de suministros posiblemente nunca te enfrentarás con problemas de infecciones tras la venta. No obstante, la amplia variedad de fabricantes proporciona cierta defensa frente a esto: no puedes modificar el hardware si no tienes acceso o control sobre sus componentes en ningún punto del proceso de suministro. Así pues, ¿qué tal una infección tras haber entregado el hardware al usuario?

La tecnología Bootkit, tal y como se muestra en el documento como una posible fuente para comprometer nuestro ordenador no es, en absoluto algo irrelevante. Podemos revisar casos como el antiguo CIH (conocido posteriormente como el malware Chernobyl) para obtener un ejemplo de un malware real con una carga vírica capaz de escribir sobre un BIOS reprogramable, aunque no intentase afectar a todos los chips ROM reprogramables. En su momento, se afirmó que pudo haber afectado a decenas de millones de máquinas y suponemos que también influyó en el número de equipos que se construyeron posteriormente con una BIOS protegida por un interruptor hardware.

Hay un salto muy grande de inutilizar la BIOS de un PC (tal y como hacía CIH) a usar el firmware de múltiples dispositivos/periféricos para ejecutar una botnet, pero nunca digamos que no es posible. Podemos observar potencial para causar daño pero no es tan simple como propone este documento. No nos sorprendería escuchar que agencias gubernamentales en la sombra están observando atentamente este tipo de amenazas para poder usarlo en operaciones con un objetivo bien definido, pero no creemos que pueda aparecer como un epidemia a nivel mundial. Después de todo, este malware que se describe como ultra-silencioso una vez instalado (a pesar de que nunca nos convencieron palabras como indetectable o irremovible) aun tiene que cruzar diferentes barreras antes de llegar a un sistema limpio.

Josep Albors

@JosepAlbors