Notícias

Malware da Hacking Team usava rootkit da UEFI para sobreviver

12 Comentários

As questões de segurança têm estado na ordem do dia nos últimos tempos. São vários os problemas que surgiram e que revelaram fragilidades importantes no mundo dos computadores pessoais.

Depois de ser a Apple a visada nas últimas falhas, surge agora informação de que a empresa Hacking Team teria a capacidade de infectar máquinas de forma permanente e controlar os dados do utilizador

hacking_uefi_1

A informação que tem surgido sobre a Hacking Team mostra que esta empresa teria acesso exclusivo e explorava algumas falhas de segurança bem graves, conseguindo desta forma prestar os seus serviços a todos os clientes.

Foram várias as falhas já identificadas no Flash e noutras plataformas, que revelaram a sua forma de actuar, sempre à margem da lei e recorrendo a técnicas que qualquer hacker utiliza.

A mais recente revelação surgiu da análise que a Trend Micro fez aos mais de 400GB de dados que foram roubados à Hacking Team. Segundo esta empresa de segurança a Hacking Team usará um rootkit que explora problemas da UEFI para conseguir infectar os computadores com ferramentas suas, dedicadas a espiar os utilizadores.

A escolha da UEFI garante que mesmo que as ferramentas da Hacking Team sejam detectadas e eliminadas possam ser facilmente reinstaladas. A vantagem na utilização da UEFI está no facto de que mesmo que os discos das máquinas sejam trocados a infecção possa sempre ser refeita.

O rootkit que a Hacking Team desenvolveu foi criado para funcionar na BIOS da Insyde, uma das mais conhecidas e usadas pelos fabricantes de computadores, mas é quase certo que poderia funcionar noutras BIOS.

hacking_uefi_2

Segundo a informação disponibilizada, o rootkit da Hacking Team requeria acesso físico à máquina por parte do atacante. Era necessário reiniciar a máquina, aceder à shell da UEFI, aplicar o rootkit e voltar a reiniciá-la.

Esta obrigatoriedade é no entanto colocada em alerta por parte dos analistas da Trend Micro que referem não é de descartar a possibilidade de existirem formas de conseguir realizar essa infecção remotamente.

Para se protegerem os utilizadores necessitam de colocar passwords no acesso à BIOS, activar a UEFI SecureFlash e actualizar a BIOS para as versões mais recentes, disponibilizadas pelos fabricantes.

Está exposta mais uma das formas que a Hacking Team usa para conseguir aceder aos dados dos utilizadores que os seus clientes querem espiar. É mais um esquema complicado e que mostra o grau de sofisticação desta empresa.

PUB
Autor: Pedro Simões
Partilhar:
Tags:
bios Hacking Team rootkit Segurança UEFI

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
OnePlus 2: 30 mil equipamentos vendidos em apenas 64 segundos
Artigo anterior

OnePlus 2: 30 mil equipamentos vendidos em apenas 64 segundos
Leitores de impressões digitais do Android têm pouca segurança
Próximo artigo

Leitores de impressões digitais do Android têm pouca segurança
PUB

Comentários

12

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Baptista Batos
    Baptista Batos

    Então?

    Vocês receberam o update à vossa BIOS para estes casos?

    Pois, tá quieto..

    Responder
  2. Avatar de Alex
    Alex

    “Era necessário reiniciar a máquina, aceder à shell da UEFI, aplicar o rootkit e voltar a reiniciá-la.” e depois “referem não é de descartar a possibilidade de existirem formas de conseguir realizar essa infecção remotamente.”
    A questão é… Como? O computador não perde o acesso a Internet quando é reiniciado?

    Responder
    1. Avatar de Nokia 3310
      Nokia 3310

      Não enquanto o teu pc tiver um cabo RJ45 ligado e a tua BIO permitir acesso pela Internet tens sempre o pc conectando.

      Responder
    2. Avatar de Benchmark do iPhone 6
      Benchmark do iPhone 6

      O rootkit instala-se na UEFI BIOS, por acesso físico, sem descartar a Trend Micro que pudesse haver alguma forma de instalação remota, através da internet – a instalação do rootkit não tem nada a ver com o reiniciar.

      A partir daí, de cada vez que o computador é reiniciado verifica se o Windows tem instalado o RCS da Hacking Team, se não estiver instala-o. É deste reiniciar que se fala, quer o rootkit tenha sido instalado por acesso físico, quer por um eventual acesso remoto.

      Responder
  3. Avatar de Benchmark do iPhone 6
    Benchmark do iPhone 6

    Há um “pormaior” nos 400 GB de informação tornada pública do hack ao hacking team:

    – Se se fica apenas a saber o “modus operandi” do Hacking Team como neste caso – através de acesso físico era possível instalar o software de espionagem da Hacking Team (designado RCS – Remote Control System) na UEFI BIOS de um computador Windows e daí passava para o sistema operativo (de cada vez que o sistema era reinicidado era verificado se já estava no Windows, se não estava passava a estar). Para pessoas “mal intencionadas” saber isto, em linhas gerais, mesmo que sejam publicadas as vulnerabilidades que eram exploradas, ou ou desenvolverem elas próprias o código para fazer isto vai uma grande distância.

    – Ou da informação tornada pública também faz parte o código que explora a vulnerabilidade. No caso do RCSAndroid (Remote Control System Android) a Trend Micro diz que o código foi tornado público , concluindo Ars Technica que qualquer “script kid” o pode utilizar.

    Sobre a divulgação da informação do hack ao Hacking Team há quem diga que fez mais pela segurança informática que umas centenas de reuniões de especialistas, por levarem a correção de (parte) das vulnerabilidades que foram conhecidas. Mas não há dúvida que há, muita, informação a cair nas mão erradas. A divulgação de código que passa a poder ser utilizado por qualquer um é perigosa.

    http://arstechnica.com/security/2015/07/advanced-spyware-for-android-now-available-to-script-kiddies-everywhere/

    Responder
    1. Avatar de Benchmark do iPhone 6
      Benchmark do iPhone 6

      Enganei-me na extensão do mail, saiu sem “boneco” 🙂

      Responder
  4. Avatar de Beavis
    Beavis

    Qual será aquele tema do sublime na imagem?

    Responder
    1. Avatar de Benchmark do iPhone 6
      Benchmark do iPhone 6

      É da actualização da tua UEFI BIOS para corrigir a vulnerabilidade, não te lembras 😉

      Responder
    2. Avatar de Baptista Batos
      Baptista Batos

      Parece o que eu uso no Atom.

      Atom One Dark.

      Responder
    3. Avatar de Jorge
      Jorge

      css oh filho

      Responder
  5. Avatar de Benchmark do iPhone 6
    Benchmark do iPhone 6

    Acho que este post tem qualquer coisa que afasta os comentadores.
    Estava à espera de um grande número de comentários: “Eu já flashei a UEFI BIOS para corrigir a vulnerabilidade que o Hacking Team explorava, e certamente outros mal intencionados” … “E eu” .. “E eu”.

    Ou qualquer coisa sobre o RCSAndroid (Remote Control System Android).

    Afinal nada.
    No post sobre a vulnerabilidade no firmware dos Mac – que ao certo ninguém sabia como se explorava, havia comentários aos montes 😉

    Responder
  6. Avatar de sakura
    sakura

    o windows 10 uza a clude para “run” um progarma + ID, o os x está na idade da pedra.

    claro que tem que enviar os dados para a MS. quem não envia ……. depois o windows é so viruis ….. lol . http://windows.microsoft.com/pt-pt/windows-vista/phishing-filter-frequently-asked-questions

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.