Fancy Bear (también conocido como APT18, Pawn Storm, Sofacy Group, Sednit y STRONTIUM) es un grupo de ciberespionaje ruso especializado en ciberataques clasificados como Amenaza Persistente Avanzada (APT, por sus siglas en inglés). Como explicamos en su día, los APT se caracterizan por ser muy sofisticados, selectivos hacia determinadas empresas u organizaciones y por su capacidad de burlar los mecanismos de defensa clásicos.

El desarrollo de Fancy Bear más reciente encaja con ese grado de sofisticación: se llama LoJax y es un malware capaz de sobrevivir a las reinstalaciones de los sistemas operativos. Esto lo hace especialmente peligroso para las empresas e instituciones poco protegidas frente a este tipo de ataques.

¿Cómo funciona LoJax?

LoJax actúa como un rootkit, es decir, un programa o conjunto de herramientas que permiten acceder a los niveles administrativos de un ordenador o una red permaneciendo ocultos. Pero la particularidad de LoJax es que se trata del primer rootkit detectado que ataca directamente a la Interfaz de Firmware Extensible Unificada (UEFI, por sus siglas en inglés).

¿Y qué es la UEFI? La UEFI es la sucesora de la BIOS, clave para cualquier ordenador, ya que ambos son firmwares que están almacenados en una memoria aparte situada en la placa base y contienen las instrucciones que controlan las operaciones de los circuitos del ordenador, por lo que no es dependiente de los sistemas operativos.

En este sentido, LoJax aprovecha una vulnerabilidad de un software que viene preinstalado en la UEFI de muchos portátiles denominado Computrace Lojack. Este software envía información de la localización del equipo y además permite eliminar archivos y bloquearlo en caso de robo. Al tratarse de un sistema antirrobo, Lojack fue diseñado para permanecer en el ordenador aunque el sistema operativo se reinstale o se sustituya el disco duro, ya que son dos elementos que los ladrones suelen alterar cuando han sustraído un portátil.

La manera en la que LoJAX accede a la UEFI y Lojack es utilizando unos archivos binarios que desde el sistema operativo recopilan información sobre su hardware. Desde ahí parchean la UEFI, ocultan el código malicioso y vuelven a escribir sobre ella, todo ello desde Windows. De esta manera, la UEFI pasa a estar bajo control total del ciberatacante.

Fuente: ESET

¿Cómo evitar ataques como el de LoJax?

La peligrosidad de LoJax no solo es alta por la infección de la UEFI en sí, sino también por el hecho de que muchas soluciones de ciberseguridad, que incluyen a las corporativas presentes en muchas empresas, pasan por alto a Computrace Lojack y el software de la UEFI al considerarlo un elemento seguro. Por eso, LoJax pone en evidencia que las organizaciones deben tomar medidas de ciberseguridad que vayan más allá de las destinadas a proteger los sistemas operativos. Estas son algunas de nuestras recomendaciones:

1.- Modo Secure Boot: la buena noticia es que el rootkit de Fancy Bear no está debidamente “firmado”, esto es, registrado de manera segura como el resto del hardware común que se instala y detecta la UEFI. Por tanto, la primera medida de seguridad es activar el modo Secure Boot de la UEFI de los equipos corporativos. Cuando se activa este modo, todos los componentes del firmware han de estar adecuadamente “firmados” y no permite aquellos que presenten anomalías, como sería el caso de LoJax.

2.- Modernización de los chipsets de los equipos. Las vulnerabilidades con Computrace Lojack descubiertas que permiten el ataque de LoJax solo funcionan en configuraciones antiguas de UEFI. Los chipsets de la serie 5 de Intel, introducidos ya desde 2008, cuentan con concentradores de controladores de plataforma y éstos han demostrado ser inmunes a LoJax.

3.- Soluciones de seguridad 360: En cualquier caso, como protección general ante el malware es recomendable disponer de soluciones de seguridad 360, que vayan más allá de detectar vulnerabilidades en los entrypoints y también tengan en cuenta la seguridad hasta los endpoints. Es fundamental contar con soluciones que automaticen la prevención, detección, contención y respuesta contra cualquier amenaza avanzada, como las APT. Precisamente, nuestra suite de ciberseguridad avanzada Panda Adaptive Defense es capaz de monitorizar completamente todos los posibles ciberataques y accesos no deseados. Además, cuenta con un módulo complementario que se encarga de un aspecto que muchas veces se pasa por alto: la instalación de parches y actualizaciones. Nuestra solución 360 combina la visibilidad detallada de la actividad en los endpoints, el control de todos los procesos en ejecución y la reducción de la superficie de ataque para impedir que las empresas sean víctimas de un ataque, por muy sofisticado que sea.