Agosto é sempre um mês movimentado em todos os cantos do planeta. Há uma ideia generalizada que é um mês calmo mas, a sê-lo, não será certamente no que respeita ao mundo digital pois este respira atividades lícitas e menos lícitas, quase 24/7, e eu vivo para isto.
Estava eu muito bem sentado a ver o jogo da Super Taça de Portugal quando recebi uma chamada do Telegram de um famoso investigador de cibersegurança russo radicado nos Estado Unidos há duas décadas, que me perguntava se eu tinha uns minutos para si. Depois de uma amena cavaqueira de meia hora em que se falou de tudo e de todas as tendências da atualidade, ele pergunta-me se eu já tinha passado os meus olhos pelo rootkit para chipset o H81 da Asus. Para os meus amigos que não sabem o que é, eu explico.
Um rootkit é um software quase sempre malicioso, criado para esconder ou camuflar a existência de alguns programas num computador e permitir um acesso secreto ao seu conteúdo. Este funciona como uma backdoor (porta das traseiras), permitindo que um hacker entre e saia livremente, e faça o que bem entender sem que os mecanismos tradicionais de defesa, como antivírus do computador, inibam tal ação.
Para quem trabalha na indústria da segurança informática, isto acaba por ser vulgar pois temos a noção que o utilizador clica em tudo o que lhe é dado a clicar, mas este caso não é um caso qualquer. Este caso em concreto refere-se a um rootkit que se aloja na UEFI, que para quem ainda não sabe o que é, posso dizer que é uma espécie de BIOS mais moderna. Para os que não sabem o que é a BIOS, digamos que é um programa que aparece mal se liga o computador e que antecede a entrada em funcionamento do sistema operativo. Recorda-se de quando nos tempos mais idos se ligava um computador ele apitava e mostrava um logotipo com uma estrela? Esse era o arranque da tal BIOS que foi modernizada para UEFI; acho que até aqui todos seguimos a bordo desta conversa.
Mas o que tem de especial este rootkit? Precisamente o que eu estava a dizer anteriormente, ele apareceu no firmware das placas mãe da Asus e da Gigabyte com o chipset H81 numa determinada latitude, mais precisamente na Rússia. Como nós já sabemos, os rootkits são implantes de malware que são capazes de se incorporar nas camadas mais profundas do sistema operativo, equipando os atores de ameaças com a descrição necessária para que, com persistência, habitem nestas máquinas por longos períodos de tempo mesmo que seja formatada. Ora, aqui é que surge o elemento estranho, veremos porquê.
Quando eu era miúdo, havia um jogo muito engraçado que se comprava ou se recebia normalmente pelo Natal. Estou a falar do famoso “Quem é Quem”, que para se conseguir ganhar, uma série de perguntas eram feitas até chegar ao personagem. Este jogo é imensamente útil para quem, como eu, trabalha neste ramo porque é a fazer perguntas e a procurar respostas que se percebe a estratégia das operações, padrões, ligações e outras utilidades. Após receber e analisar o ficheiro da UEFI com certa de 100KB, concordo com o meu colega que este é estranhamente parecido com o MoonBounce da Winnti. Quem não conhece a Winnti fica agora a conhecer; são um grupo de espionagem direcionada a alvos estratégicos da China. Ora, como diz o Camilo Loureço, “Fait la Liason”.
Analisando em profundidade este elemento (agora denominado de CosmicStrand), não é fácil perceber bem como é que este chega ao alvo, o que leva a que alguns especulem ser de nascença que a infeção ocorre. Ou é assim ou o firmware tem uma vulnerabilidade no seu código que permite o ataque remoto e eu acredito mais nesta versão.
Depois de estar presente numa máquina, as ações pós-compromisso envolvem introduzir alterações num driver chamado CSMCORE DXE para redirecionar a execução de código para segmento deste controlado pelo atacante, projetado para ser executado durante o arranque do sistema, conduzindo, em última instância, à implementação de um malware dentro do Windows. Por outras palavras, o objetivo do ataque é adulterar o processo de arranque do sistema operativo sempre que for iniciado e efetuar uma conexão a um servidor remoto para descarregar um agente malicioso para ser executado no sistema.
A concreta ação em cadeia de eventos seguintes é complexa e não vou maçar o leitor com detalhes. Basta elencar para os mais entendidos que entre o cliente e o servidor são trocados pacotes de 500 bytes que se juntam e são interpretados como código shell e que permitem a manipulação do sistema pelo atacante no seu command-center.
É certo que este caso em concreto faz um aproveitamento de uma UEFI que circula já há 5 ou 6 anos, mas não é de estranhar o facto de ser imensamente usada em sistemas caseiros e empresariais na Rússia. É de estranhar ainda menos o facto da origem e a assinatura da infeção ter origem e uso na China, ligadas a uma entidade de espionagem industrial de alto gabarito. Eu estou de facto pasmado (not) com esta ação do imenso amigo neutro da Rússia que em nada se quer aproveitar do panorama bélico e político atual, mas pronto, não vou confundir agentes de interesse chineses com o Governo do país.
Já é um ditado antigo este que se usa no nosso cantinho à beira-mar plantado e diz assim:
Amigos, amigos, negócios à parte.
