badBIOS: El virus del futuro está aquí para Windows, Mac, BSD y … Linux !

biosVirus, Malware, código que se ejecuta y propaga de forma automática y puede resultar perjudicial, dañino. Nosotros los usuarios de Linux soñamos y despertamos pensando “estoy a salvo, el 99.9% del malware no me infecta, estoy a salvo, yo uso Linux“, así mismo piensan los usuarios de BSD, pero …

¿Qué pensarías si te dijeran que ya existe al menos un malware 100% multiplataforma?, ¿Y si además de lo anterior, éste fuera capaz de infectar el firmware de los equipos?… Pues bien, todo parece indicar que esta pesadilla ya es una realidad.

Según un artículo aparecido en Ars Technica, el consultor en seguridad Dragos Ruiu, organizador de las conferencias CanSecWest y PacSec y fundador de la competición de hackers Pwn2Own, ha reportado la existencia del malware “badBIOS”, capaz de infectar equipos con OS X, Windows y BSD. El malware en cuestión, afecta el BIOS o UEFI de los equipos y se sospecha pueda afectar también otros standares de firmware. Hasta el momento, los procedimientos y herramientas de análisis forense existentes han probado ser insuficientes para detectar la existencia del malware y poder enfrentar este reto.

De acuerdo con lo reportado por Ruiu, la primera vez que percibió que algo raro pasaba fue cuando después de realizar una instalación fresca de OS X en una MacBook Air, el equipo procedió espontáneamente a actualizar el firmware de booteo. Posteriormente comenzó a notar que desaparecían archivos y configuraciones sin motivo aparente y que le resultaba imposible bootear desde un CD ROM. En los meses siguientes, este comportamiento comenzó a extenderse entre otros equipos en su red, incluyendo algunos con Open BSD y múltiples variantes de Windows.

Al intentar eliminar el malware comenzó la pesadilla que ya dura 3 años. Luego de reflashear el BIOS de los equipos y reinstalar desde cero con discos originales y sobre discos duros nuevos, la infección se mostraba persistente, reapareciendo nuevamente. Entre tanto, detectó que en su red comenzaban a transmitirse paquetes de datos con el protocolo IPv6 de nueva generación, aún desde equipos que tenían completamente deshabilitada esta opción. Luego de aislar completamente los equipos, desconectando el cable Ethernet, removiendo las tarjetas WiFi y Bluetooth y desconectándolos de la red de alimentación (o sea, trabajando con baterías), ¡la transmisión de paquetes continuaba!… el virus seguía propagándose, aún en ordenadores sin LAN, sin Wifi, sin Bluetooth!!!

¿Cómo es posible tal cosa?; pues bien, utilizando transmisiones de sonido de alta frecuencia. Aunque esto parezca algo de ciencia ficción, ya estaba siendo objeto de investigación en varios laboratorios, incluyendo un proyecto en curso en el MIT. La confirmación de esta sospecha la consiguió removiendo las bocinas y el micrófono de un equipo, con lo que cesó la transmisión de paquetes.

En fecha reciente, luego de adquirir un nuevo equipo, este resultó inmediatamente infectado al conectar una memoria USB, lo que sugiere que el malware es capaz de infectar dispositivos USB y que así estos infectan a otros equipos, aunque todavía no está claro si la infección inicial de la MacBook Air provino de una memoria USB. Ruiu sospecha que “badBIOS” es solamente un módulo inicial de un cargador multi-etapas capaz de infectar a equipos con sistemas operativos Windows, Mac OS X, BSD y Linux.

Aún hoy, luego de 3 años de luchar con “badBIOS”, no está completamente claro su origen ni comportamiento, por ello, en la próxima conferencia de PacSec, a celebrarse entre entre el 13 y el 14 del presente mes en Tokio, Ruiu espera tener acceso a hardware de última generación para análisis de dispositivos USB que provea nuevas pistas acerca del mecanismo de infección.

Puede que aún existan algunos escépticos que consideren que lo planteado es algo imposible, pero de hecho no es la primera vez que aparece una infección de malware contenida en el firmware pues al menos está comprobado el caso de Stuxnet, aquél virus que afectó el control de las centrífugas de enriquecimiento de uranio iraníes hace unos años, mientras que por otra parte, ya en 2008 Arrigo Triulzi desarrolló una prueba de concepto donde fundamentaba la posibilidad de manipular con esos fines el firmware de interfaces de red y tarjetas gráficas, por lo que sólo era cuestión de tiempo que se hiciera real la posibilidad enunciada.

Estas noticias han sido recibidas con gran preocupación por la comunidad de seguridad, donde reputados investigadores como Alex Samos y Arrigo Triulzi, así como Jeff Moss -fundador de las conferencias sobre seguridad Defcon y Blackhat- quien desde 2009 asesora sobre estos temas a la Secretaria del Departamento de Seguridad Nacional de los Estados Unidos, han respaldado las afirmaciones de Ruiu y recomendado seguir muy de cerca el desarrollo de los acontecimientos a través de @dragosr o #badBIOS.

Yo al menos voy a mantenerme al tanto y si noto que alguno de mis equipos comienza a impedirme el booteo desde el dispositivo óptico, le daré el mismo tratamiento que al robot de Terminator, aunque acepto otras sugerencias…

Fuente