#badBIOS

Hace dos días, recibí un correo que contenía este enlace. Tras leerlo, estaba un poco asustado, parecía algo serio, especialmente viniendo del creador del concurso pwn2own Dragos Ruiu (@dragosr), ya que él no necesita algo así para hacerse famoso o tener un nombre.

Como no hay demasiada información o un informe “oficial”, aquí os dejo algunos hechos sobre lo que Dragos ha encontrado y su investigación:

  • Encuentra un malware que infecta el hardware.
  • Lo encuentra instalado en portátiles con sistemas Windows instalados, pero se ve que de alguna manera es independiente de la plataforma, puede infectar sistemas BSD y OSx tampoco es inmune.
  • Reescribe la BIOS del sistema y es persistente, incluso tras “flashear” la BIOS con un firmware legítimo, sigue infectando el sistema. Esto obliga al investigador a usar una nueva máquina para cada prueba.
  • Se comunica mediante SDR (Software Defined Radio) para unir air gaps (equipos sin conexión a ninguna red). Funciona incluso si las tarjetas de red inalámbricas y de Bluetooth son extraídas.


    (https://plus.google.com/103470457057356043365/posts/exuXRz5C3L3)
  • Carga un Hypervisor.
  • Cuando se infecta la BIOS, no permite el arranque desde dispositivos externos sin importar la configuración elegida, la mayoría de las veces arranca desde el disco interno.


    (https://twitter.com/dragosr/status/388632113496350721)
  • Reescribe la memoria flash de todos los dispositivos de memoria USB que se conectan a un sistema infectado, incluyendo lectores de CD que se conectan mediante USB. No afecta a los ficheros del dispositivo USB, va directamente al firmware.
  • Insertar un pendrive infectado en un sistema limpio es suficiente para infectarlo… ¡sin siquiera tener que montarlo!

    “I didn’t even mount the volume and it was infected.”

    (https://twitter.com/dragosr/status/393021493149302785)

  • A veces “brickea” las memorias USB al extraerlas de manera no segura, pero vuelven a la vida cuando se introducen en un sistema infectado.


    https://twitter.com/dragosr/status/393026712197279746)
  • En los sistemas Windows infectados aparecen algunos ficheros .ttf y .fon extra. Tres de ellos (meiryo, meiryob, and malgunnb) tienen un tamaño mayor del esperado.
  • Cuando se intentan extraer estos ficheros, desaparecen del CD en el que se han copiado.

  • (https://twitter.com/dragosr/status/393633641370112000)

  • Se apunta a Rusia como origen del malware, ya que son los únicos desarrolladores de software malicioso que modifica los controladores flash. Además, el malware bloquea los dominios rusos que modifican las memorias flash.


    (https://twitter.com/dragosr/status/393023050750234624)
  • Los primeros síntomas se encontraron en un Macbook hace tres años.


    (https://twitter.com/dragosr/status/394223528813146112)
  • Han subido una lista con los md5 de los ficheros a este enlace.

En estos momentos, no sé si se trata de un trolleo épico. Personalmente no creo que Dragos se juegue su reputación así, o si estamos delante de un nuevo tipo de amenaza ante la que tenemos que estar preparados. Lo peor es que, a día de hoy, nadie tiene ni idea del propósito del malware.

Trataré de manteneros al día y os recomiendo que sigáis en Twitter a @dragosr y el hashtag #badBIOS si queréis estar al día sobre el tema.

[NOTA] Si os interesa una muestra, tened un ojo en malware.lu. @xylit0l publicó esto en kernelmode.info:

Re: New Bios Malware
 by Xylitol » Sun Oct 13, 2013 9:23 pm
Talked to r00tbsd over irc, he have an image of the infected bios but got no time 
for the moment to add it on malware.lu.

Fuentes:

[1] https://plus.google.com/103470457057356043365/posts/9fyh5R9v2Ga
[2] https://plus.google.com/103470457057356043365/posts
[3] https://www.wilderssecurity.com/showthread.php?t=354463
[4] https://www.security.nl/posting/366329/Onderzoeker+ontdekt+mysterieuze+BIOS-malware
[5] https://kabelmast.wordpress.com/2013/10/23/badbios-and-lotsa-paranoia-plus-fireworks/
[6] https://twitter.com/dragosr
[7] https://twitter.com/rich_addr
[8] http://www.kernelmode.info/forum/viewtopic.php?f=16&t=2998&p=21195&hilit=BIOS+malware#p21195

Comments

  1. Propongo bautizarlo, por su “dureza”, como Chuck Norris :-)

  2. Yes, we know that link and it is an interesting one. Schneier also posted recently a brief post:

    https://www.schneier.com/blog/archives/2013/11/badbios.html

    However, we think that true or false it is interesting enough to invest some time on it. Indeed, it has generated some good and interesting conversation, don’t you think?

  3. Podemos tener un problema serio a gran escala con esto. Si los rusos pusieran el mismo empeño en otras cosas que el ponen en diseñar malware…dominarían el mundo :)
    A ver si llegan al fondo del asunto.