Una volta c’era l’ultima spiaggia della sicurezza informatica: se il computer infestato da virus, l’unica soluzione sicure
quella di formattare tutto e reinstallare da zero. Poi sono arrivati i rootkit, malware che andavano a installarsi direttamente
nel Bios, attivandosi prima del caricamento di Windows stesso. Strisciando a un livello pi basso di Windows, erano praticamente
impossibili da identificare in maniera diretta. L’unica soluzione era di riprogrammare la scheda madre del computer con un
BIOS pulito e poi reinstallare tutto. Ma il timore che un altro rootkit prendesse il controllo del computer era sempre presente.
Per questo, qualche anno fa, si scelto di abbandonare i vecchi BIOS e passare a EUFI, un sistema pi sicuro, in grado di
impedire l’accesso ai malware.

Purtroppo, con il passare degli anni sono state scoperte delle vulnerabilit, falle sottili e difficili da sfruttare che avrebbero
potuto segnare il ritorno dei rootkit. E cos stato.

I ricercatori di ESET hanno recentemente scoperto una campagna di spionaggio, condotta dal gruppo di cybercriminali Sednit,
che fa proprio uso di un rootkit in grado di installarsi su computer che usano EUFI.

Il gruppo Sednit conosciuto (e famigerato) nell’ambiente della sicurezza informatica anche con altri nomi: APT28. Sofacy,
Stronzium e Fancy Bear. Sembra essere operativo dal 2004 ed il maggior indiziato in molte iniziative di grande risonanza
mediatica, come l’attacco al Democrati National Commitee del 2016, l’hacking del network televisivo di TV5Monde, la diffusione
delle e-mail riservate rubate all’agenzia mondiale antidoping e cos via.

Le loro capacit tecniche sono evidentemente molto elevate e gli esperti di ESET hanno rilevato che questo gruppo riuscito
a infilare del codice malevolo in un modulo UEFI. In questo modo, l’infezione resiste sia alla formattazione del disco, sia
alla sua sostituzione e riuscire a scoprire il vettore d’attacco diventa molto complicato dato che i rootkit sono quasi invisibili
alle normali analisi di sicurezza.

Le conseguenze per la maggior parte di cittadini e imprese sono minime. Portare questo tipo di attacco molto complicato
ed quasi certamente riservato a bersagli molto specifici. Il problema che non possibile sapere contro chi verr usato:
si spazia da una grande azienda fino a enti governativi, passando per piccole aziende che trattano dati estremamente sensibili
o semplici fornitrici di societ pi importanti.

In ogni caso, per mettersi al sicuro basta seguire due regole molto importanti, anche se non alla portata di tutti: aggiornare
tutti gli UEFI all’ultima versione, in quanto le vulnerabilit sfruttate finora sono presenti solo in vecchie versioni, e
abilitare il Secure Boot, un sistema che permette di scrivere nell’UEFI solo se si ha un certificato di identit digitale
autorizzato.

© Riproduzione riservata



Sorgente – ilsole24ore.com