Alertan sobre la existencia de LoJax, “un rootkit UEFI para infectar y conseguir persistencia en el dispositivo”

Este ‘rootkit’ activo permitiría controlar por completo los dispositivos afectados y está siendo utilizado por Sednit.

Por primera vez, se ha detectado un ciberataque que aprovecha un rootkit UEFI, denominado LoJax, para infectar dispositivos y conseguir persistencia en los mismos.

Así lo ha desvelado ESET, que recuerda que este tipo de rootkits son peligrosos porque ayudan a tomar el control sin importar el sistema operativo del dispositivo. Y, además, resulta complicado descubrirlos. Por si esto fuera poco, también resisten la acción de ciertas soluciones típicas como reinstalar el sistema o sustituir el disco duro.

Esto significa que para deshacerse de la infección hay que contratar los servicios de expertos de primer nivel.

“Este descubrimiento debería servir para incorporar, de una vez por todas, el análisis regular también del firmware de los dispositivos utilizados en una organización”, comenta Josep Albors, responsable de investigación y concienciación de ESET.

“Es cierto que los ataques UEFI son extremadamente raros y hasta ahora se limitaban a la manipulación del dispositivo afectado, pero un ataque como el descubierto puede conseguir que un atacante obtenga el control completo del aparato con una persistencia prácticamente total”, advierte.

Albors explica que ya “estábamos al tanto de la existencia de rootkits UEFI, pero el descubrimiento realizado por nuestros investigadores pone de manifiesto su utilización por parte de un grupo activo y conocido de ciberdelincuentes. No se trata de una prueba de concepto para mostrar en una conferencia de seguridad, sino de una amenaza real, avanzada y persistente”.

Ese grupo de ciberdelincuentes es Sednit, al que también se le conoce por los nombres de APT28, Strontium, Sofacy y Fancy Bear, y que habría actuado contra organizaciones gubernamentales.