Blog

El spyware FinFisher puede comprometer el gestor de arranque de Windows con un Bootkit UEFI

FinFisher (o también conocido como FinSpy y Wingbird) es una solución de vigilancia avanzada desarrollada por por la empresa Gamma Group, que cuenta con capacidades similares a las del malware que suelen encontrarse en las cepas de spyware. Sus desarrolladores dicen que se vende exclusivamente para las agencias gubernamentales y a las fuerzas del orden de todo el mundo, pero diferentes empresas de ciberseguridad también lo han detectado cuando se entrega a través de campañas de spearphishing y también mediante la infraestructura de los proveedores de servicios de Internet (ISP).

Según los investigadora de Kaspersky Labs, «Durante nuestra investigación, encontramos un bootkit UEFI que cargaba FinSpy. Todas las máquinas infectadas con el bootkit UEFI tenían el gestor de arranque de Windows (bootmgfw.efi) sustituido por uno malicioso.

Este método de infección permitió a los atacantes instalar un bootkit sin necesidad de saltarse las comprobaciones de seguridad del firmware. Las infecciones UEFI son muy raras y generalmente difíciles de ejecutar, y destacan por su evasión y persistencia.»

Gracias al uso de la UEFI (Unified Extensible Firmware Interface) permite que el malware bootkit sea muy persistente, ya que se instala en el almacenamiento flash SPI soldado a la placa base de los ordenadores, lo que hace imposible deshacerse de él mediante la sustitución del disco duro o incluso la reinstalación del sistema operativo.

Los bootkits son códigos maliciosos plantados en el firmware, indetectables para las soluciones de seguridad del sistema operativo, ya que están diseñados para cargarse antes que el sistema operativo y las soluciones de seguridad.

Mediante el uso de los bootkits, puede proporcionar a los atacantes el control del proceso de arranque de un sistema operativo y permiten sabotear las defensas del sistema operativo saltándose el mecanismo de Secure Boot en función del modo de seguridad de arranque del sistema.

Los ataques documentados públicamente y el malware que utiliza bootkits en el ambiente son extremadamente raros:

  • Lojax, utilizado por el grupo de APT28 respaldado por Rusia.
  • MosaicRegressor, desplegado por Actores de amenazas Chinos.
  • Los operadores de TrickBot cuentan con una función de bootkits llamado, TrickBoot.

Si bien en este caso los atacantes no infectaron la UEFI en sí, sino su siguiente etapa de arranque, el ataque fue particularmente sigiloso, ya que el módulo malicioso se instaló en una partición separada y pudo controlar el proceso de arranque de la máquina infectada.

En el caso de otras muestras de malware utilizadas en diferentes ataques y analizados por Kaspersky, los desarrolladores del spyware también utilizaron cuatro capas de ofuscación y medidas anti análisis diseñadas para hacer de FinFisher sea uno de los «spywares más difíciles de detectar hasta la fecha.«

Sus esfuerzos fueron muy eficaces, ya que las muestras de malware podían evadir casi cualquier intento de detección y eran prácticamente imposibles de analizar (cada muestra detectada por Kaspersky requería una cantidad de trabajo «abrumadora» para descifrarla).

«La cantidad de trabajo realizado para que FinFisher no sea accesible a los investigadores de seguridad es especialmente preocupante y hasta cierto punto impresionante», añadió Igor Kuznetsov, investigador principal de seguridad del Equipo de Investigación y Análisis Global (GReAT) de Kaspersky.

«Parece que los desarrolladores han dedicado al menos tanto trabajo a la ofuscación y a las medidas antianálisis como al propio troyano. Como resultado, sus capacidades para evadir cualquier detección y análisis hacen que este spyware sea particularmente difícil de rastrear y detectar.»

Pero esto no termina aquí, los softwares de vigilancia que ofrece la empresa Gamma Group han tenido múltiples controversias desde hace más de 10 años en Internet. En el año 2011, el portal de filtración de información Wikileaks incluyó «SpyFiles», en un apartado dedicado a Gamma Group, en un esfuerzo por exponer la industria de la vigilancia masiva mundial. Dichos documentos incluyen vídeos y brochures de ventas del software FinFisher.

En palabras de Julian Assange «FinFisher continua operando descaradamente desde Alemania, vendiendo malware de vigilancia armado a algunos de los regímenes más abusivos del mundo. El gobierno de Merkel pretende estar preocupado por la privacidad, pero sus acciones dicen lo contrario. ¿Por qué el gobierno de Merkel continúa protegiendo FinFisher? Esta lanzamiento completo de los datos ayudarán a la comunidad técnica a construir herramientas que protejan a la gente de FinFisher, incluyendo el rastreo de sus comandos y centros de control.«

Más información

https://web.archive.org/web/20131012042638/http://www.jornada.unam.mx/ultimas/2013/10/07/222652525-sigue-activo-el-programa-de-espionaje-finfisher-en-mexico/

https://giswatch.org/sites/default/files/gisw2014_communications_surveillance.pdf

https://wikileaks.org/spyfiles4/index.html

https://securelist.com/finspy-unseen-findings/104322/

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required