Hace unos días, Dragos Ruiu, un conocido investigador de seguridad canadiense, organizador de las conferencias CanSecWest, PacSec y creador del concurso de hacking Pwn2Own, dio a conocer una investigación en la que lleva trabajando desde hace unos tres años en completo silencio.
El objeto de su estudio sería un supuesto malware del que habría sido víctima, denominado por él mismo como "badBIOS" que afecta al sistema operativo de Windows, iOS, Linux y BSD (distribución de software Berkeley) con capacidades nunca antes vistas hasta el momento como que se pudiera trasmitir por señales de alta frecuencia entre los altavoces del ordenador y los micrófonos para saltar entre circuitos.
La historia comienza hace tres años, cuando Dragos se percató que su portátil, un Apple MacBook Air con el sistema recién instalado, actualizó de pronto el firmware del equipo. Extrañado, intentó arrancar sin éxito su máquina desde una unidad de CDROM. También notó como el sistema comenzaba a cambiar la configuración de ciertos parámetros sin notificación alguna. A partir de ahí, relata Ruiu, comenzó una carrera contra un incomodo invitado difícil de cazar.
Meses después observó idéntico comportamiento en otra máquina con un sistema BSD instalado. El sistema cambiaba configuraciones y borraba archivos sin un motivo aparente. Según Dragos, solo había insertado una memoria USB y ni siquiera había montado el volumen en el sistema, algo necesario para poder acceder al sistema de archivos.
Para Dragos, esto supone que el malware tiene capacidad para infectar el controlador de la memoria USB. Es decir, reprogramando (flasheando) el controlador para llegar hasta la BIOS del sistema a infectar. Esto supondría un mecanismo a muy bajo nivel. Según Dragos existen unos diez fabricantes de controladores para dispositivos de memoria USB y todos serían reprogramables. También comentó que es imposible llegar a una página web sobre software de reprogramación de este tipo de dispositivos desde una máquina infectada, al estilo del malware que impide el acceso a servidores de compañías antivirus.
Otra curiosa prueba que efectuó es el comportamiento de las memorias USB libres de infección cuando son insertadas y extraídas rápidamente en sistemas infectados. Al, supuestamente, interrumpir la operación de reprogramación estas se bloquean pero si son de nuevo insertadas en un sistema infectado y la reprogramación concluye con éxito vuelven a funcionar.
En sistemas Windows 8 infectados por badBIOS, Dragos detectó un síntoma adicional: ciertas fuentes tienen un tamaño superior en sistemas infectados y son protegidas por el usuario "Trusted Installer" que impide su manipulación incluso por el usuario administrador. Además cuando grabó estos archivos sobre un CD posteriormente comprobó, desde un sistema limpio, que habían "desaparecido”.
Otro factor más para añadir a la lista es la capacidad que tiene el malware para comunicarse con otros equipos infectados. Lejos de hacerlo sobre medios convencionales cuanto estos no están disponibles, Dragos encontró que el malware tiene la capacidad de establecer un canal de comunicación utilizando el micrófono y altavoces como medio de entrada y salida y usando ultrasonidos como transporte de la información. Cuando el malware trata de comunicarse con el exterior (Internet) lo hace a través de IPv6, de manera cifrada e incluso cuando el equipo tiene deshabilitada este protocolo.
La duda está servida. Dragos es un investigador reputado, que cuenta con el respaldo de gente con nombre. Por otro lado está la carencia de un ejemplar aislado para su estudio y el hecho que de momento nadie más parece sufrir los efectos de este singular tipo de infección, ni siquiera se dispone de evidencia alguna que apoye las declaraciones de Dragos, no hay copia del firmware infectado, ni capturas de red, ni archivos de sonidos que demuestren la capacidad de comunicación a través del sistema de sonido.
No hay comentarios:
Publicar un comentario