Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
2020
(Total:
212
)
-
▼
octubre
(Total:
23
)
- Ataque Intercambio de SIM y Robo de WhatsApp con e...
- Actualización de emergencia para el navegador Goog...
- Hackean por segunda vez la contraseña de Donald Tr...
- Autores del ransomware DarkSide deciden donar dine...
- Los ISP están monitoreando las actividades de los ...
- La NSA publica el top 25 de vulnerabilidades aprov...
- Estados Unidos acusa a 6 oficiales de inteligencia...
- Google recibió el mayor ataque DDoS de la historia...
- Los mejores bots de Telegram
- Investigador de Google encuentra errores de Bleedi...
- Graves vulnerabilidades en productos Cisco, SAP, S...
- Software AG sufre un ataque de ransomware; piden 2...
- Microsoft utiliza la ley de marcas comerciales par...
- Actualizaciones de seguridad productos Microsoft: ...
- Los 10 ataques de Phishing más utilizados en 2020
- Fallo incorregible en el chip T2 de Apple permite ...
- Microsoft alerta de un sofisticado ransomware para...
- Descubren un bootkit en UEFI utilizado para espiar...
- Graves vulnerabilidades en HP Device Manager
- Hospital de Nueva Jersey pagó 670 mil dólares para...
- Más del 61% de los servidores Microsoft Exchange s...
- Empresa suiza relojes Swatch víctima de un ransomware
- Condenado a 7 años de prisión el ruso que hackeó L...
- ► septiembre (Total: 21 )
-
▼
octubre
(Total:
23
)
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Descubren un bootkit en UEFI utilizado para espiar instalado por un grupo Chino
Investigadores de seguridad de Kaspersky han descubierto que un grupo de hackers chinos estaban utilizando un bootkit instalado en la UEFI (BIOS) del ordenador.. El bootkit se utilizó para instalar MosaicRegressor, un kit de herramientas de espionaje. Los objetivos incluyeron entidades diplomáticas y ONG en África, Asia y Europa y el bootkit probablemente fue instalado con acceso físico
- Se trata módulos maliciosos en la UEFI para descarga de malware y mantener persistencia.
Se ha observado que un grupo de piratas informáticos de habla china utiliza un kit de arranque UEFI para descargar e instalar malware adicional en equipos específicos.
El firmware UEFI es un componente crucial para cada computadora. Este firmware crucial dentro de una memoria flash atornillada a la placa base y controla todos los componentes de hardware de la computadora y ayuda a arrancar el sistema operativo real para el usuario (como Windows, Linux, macOS, etc.).
Los ataques al firmware UEFI son el Santo Grial de todos los grupos de piratas informáticos, ya que plantar código malicioso aquí le permite sobrevivir a las reinstalaciones del sistema operativo.
No obstante, a pesar de estos beneficios, los ataques de firmware UEFI son raros porque la manipulación de este componente es particularmente difícil, ya que los atacantes necesitan acceso físico al dispositivo o necesitan comprometer objetivos a través de ataques complejos a la cadena de suministro donde el firmware UEFI o las herramientas que funcionan con firmware UEFI se modifican para insertar código malicioso.
En una charla en la conferencia de seguridad virtual de SAS hoy, los investigadores de seguridad de Kaspersky dijeron que detectaron la segunda instancia conocida de un ataque generalizado que aprovecha el código malicioso implantado en la UEFI.
El primero, revelado por ESET en 2018, fue supuestamente realizado por Fancy Bear, uno de los grupos de hackers patrocinados por el estado de Rusia. Este segundo es obra de hackers de habla china, según Kaspersky.
Bootkit UEFI utilizado para implementar el nuevo malware MosaicRegressor
La compañía dijo que descubrió estos ataques después de que el módulo Firmware Scanner de la compañía marcara dos computadoras como sospechosas.
En su charla, los investigadores de malware de Kaspersky Mark Lechtik e Igor Kuznetsov dijeron que investigaron los sistemas marcados y encontraron código malicioso dentro del firmware UEFI marcado. Este código, dijeron, fue diseñado para instalar una aplicación maliciosa (como un programa de ejecución automática) después de que se inicie cada computadora.
Este programa de ejecución automática inicial actuó como un descargador de otros componentes de malware, que Kaspersky denominó el marco de malware MosaicRegressor.
Kaspersky dijo que todavía tiene que obtener y analizar todos los componentes de MosaicRegressor, pero el que sí vieron contenía la funcionalidad para recopilar todos los documentos de la carpeta "Documentos recientes" y ponerlos en un archivo protegido con contraseña, lo más probable es que preparen el archivos para exfiltración a través de otro componente.
Los investigadores dijeron que encontraron el kit de arranque UEFI en solo dos sistemas, pero encontraron componentes MosaicRegressor en una multitud de otras computadoras.
Sin embargo, los objetivos de estos ataques fueron seleccionados cuidadosamente. Todos eran entidades diplomáticas y ONG de África, Asia y Europa.
"Basándonos en la afiliación de las víctimas descubiertas, pudimos determinar que todas tenían alguna conexión con la RPDC [Corea del Norte], ya sea una actividad sin fines de lucro relacionada con el país o una presencia real dentro de él", dijo Kaspersky.
Basado en malware filtrado de HackingTeam
Pero Kasperksy también hizo otro descubrimiento importante al analizar estos ataques. El código malicioso UEFI no era exactamente nuevo. Según su análisis, el código se basó en VectorEDK, que es una utilidad de piratería para atacar el firmware UEFI, creada por HackingTeam, un proveedor italiano ahora desaparecido de herramientas de piratería, exploits y software de vigilancia.
La compañía fue hackeada en 2015 por Phineas Fisher y sus herramientas se descargaron en línea, incluido el kit de herramientas VectorEDK. Según su manual, la herramienta fue diseñada para ser utilizada con acceso físico a la computadora de la víctima.
Kaspersky dice que, en base a las similitudes entre VectorEDK y la versión modificada utilizada por el grupo chino, el grupo chino probablemente también implementó su herramienta utilizando el acceso físico a las computadoras de sus objetivos.
El informe completo de la empresa sobre estos ataques está disponible en formato PDF de 30 páginas aquí:
Fuente:
https://www.zdnet.com/article/chinese-hacker-group-spotted-using-a-uefi-bootkit-in-the-wild/
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.