{"id":34917,"date":"2018-10-26T21:05:12","date_gmt":"2018-10-26T19:05:12","guid":{"rendered":"http:\/\/www.area-press.eu\/comunicatistampa\/?p=34917"},"modified":"2018-10-26T21:05:12","modified_gmt":"2018-10-26T19:05:12","slug":"attacchi-uefi-la-nuova-frontiera-della-criminalita-informatica-e-ora-realta","status":"publish","type":"post","link":"https:\/\/www.area-press.eu\/comunicatistampa\/2018\/10\/26\/attacchi-uefi-la-nuova-frontiera-della-criminalita-informatica-e-ora-realta\/","title":{"rendered":"Attacchi UEFI: la nuova frontiera della criminalit\u00e0 informatica \u00e8 ora realt\u00e0"},"content":{"rendered":"<p><strong><em>UEFI e Rootkit entrano di diritto tra le APT pubblicamente riconosciute<\/em><\/strong><\/p>\n<p><strong><em>\u00a0<\/em><\/strong>Con il passare del tempo, la conoscenza dei termini informatici \u00e8 cresciuta sia tra il grande pubblico sia tra le imprese. Ci\u00f2 ha portato anche a una crescente consapevolezza delle minacce tecnologiche. <strong>Malware<\/strong>, <strong>ransomware<\/strong>, <strong>criptomining<\/strong> e minacce persistenti avanzate sono entrate nella nostra coscienza collettiva, se non addirittura come termini di uso comune. Tuttavia, vi sono minacce che non sono cos\u00ec popolari e di cui solo i pi\u00f9 informati sono consapevoli.<\/p>\n<p><strong>Introduzione ai rootkit e UEFI<\/strong><\/p>\n<p>Nel 2007, in seguito all\u2019<strong>accordo<\/strong> tra Intel, AMD e Microsoft, nonch\u00e9 ai <strong>produttori<\/strong> di PC su una necessit\u00e0 di superare i limiti del sistema <strong>BIOS<\/strong> (Basic Input \/ Output System) e in vista dell\u2019implementazione di sistemi operativi a <strong>64 bit<\/strong>, nasce l\u2019<a href=\"https:\/\/www.eset.com\/it\/uefi-rootkit-cyber-attack\/\"><strong>UEFI<\/strong> <\/a>(Unified Extensible Firmware Interface). Questa scelta fu in gran parte dettata dalla necessit\u00e0 di migliorare le prestazioni e la sicurezza dei processi di avvio del PC.<\/p>\n<p>Oltre a seguire da vicino la transizione dal BIOS all\u2019UEFI per tutto il 2007, ESET si un\u00ec pubblicamente alla discussione sulla sicurezza e nel 2012 ha ipotizzato che il nuovo sistema di avvio potesse diventare un vettore di minacce concrete. Nello specifico, le preoccupazioni si sono concentrate sulla potenziale distribuzione di strumenti che potrebbero (come con BIOS) alterare o manipolare un PC durante la sua sequenza di avvio. Negli anni successivi, molti nel settore e probabilmente anche tantissimi criminali informatici si sono interrogati sulle modalit\u00e0 per sviluppare dei rootkit specifici in grado di sfruttare questo canale di infezione. Ma fino a poco tempo fa questi intenti rimasero solo ipotetici.<\/p>\n<p>Tuttavia, \u201cVisto tutto l\u2019interesse nel poter sfruttare la sequenza di avvio di un PC per attaccarlo, abbiamo deciso di concentrarci sull\u2019identificare tutte le minacce in grado di sfruttare questa fase\u201d come affermato da Roman Kovac, Chief Research Officer di ESET. Mentre molti esperti di sicurezza informatica in tutto il mondo si occupavano di monitorare i rootkit, inclusi quelli UEFI, ESET ha deciso di creare una nuova funzionalit\u00e0 da integrare nella propria tecnologia che fosse in grado di rilevare le modifiche del firmware.<\/p>\n<p>Una complicazione con la scansione UEFI \u00e8 che ci sono molti motivi legittimi per la sua modifica. Purtroppo per\u00f2 molti degli stessi vettori che consentono questo tipo di modifiche come la <strong>diagnostica<\/strong> o la <strong>manutenzione remota<\/strong>, possono anche essere utilizzati in modo scorretto per sfruttare delle vulnerabilit\u00e0. Tra i metodi studiati sicuramente quello di intervenire fisicamente sulla macchina era finora il pi\u00f9 probabile, pensiamo per esempio a un dipendente scontento o a un intruso che modifica il <strong>firmware<\/strong> delle macchine di un\u2019azienda allo scopo di danneggiarla.<\/p>\n<p>Un\u2019altra opzione, l\u2019ultima scoperta in ordine di tempo e che maggiormente ci interessa, \u00e8 un attacco remoto che utilizzi un malware e vari altri strumenti per modificare il firmware.<\/p>\n<p>ESET \u00e8 l\u2019unico fornitore tra i <strong>Top 20<\/strong> a fornire questo livello di protezione in grado di bloccare un simile attacco, ma questa scelta \u00e8 stata possibile soltanto allontanandosi dai classici paradigmi della sicurezza informatica. Questa decisione ha richiesto enormi sforzi nella ricerca e sviluppo per implementare l\u2019<a href=\"https:\/\/www.eset.com\/it\/uefi-rootkit-cyber-attack\/\"><strong>ESET<\/strong> <strong>UEFI<\/strong> <strong>Scanner <\/strong><\/a>gi\u00e0 a partire dal 2017 e aggiungendo cos\u00ec la possibilit\u00e0 di eseguire la scansione del firmware di un computer alla tecnologia multilivello presente nelle nostre soluzioni aziendali e consumer.<\/p>\n<p><strong>Il mito diventa realt\u00e0 \u2013 Sednit trasforma il software antifurto in un APT.<\/strong><\/p>\n<p>Tra i criminali informatici, le cybergang e le minacce malware che <strong>ESET<\/strong> e l\u2019industria in generale hanno tracciato, il gruppo Sednit noto anche come Fancy Bears \u00e8 sicuramente un \u201csorvegliato speciale\u201d.<\/p>\n<p>Sospettato di celarsi dietro molti attacchi di alto profilo in ambito politico, giornalistico e persino sportivo, Sednit vanta nel suo arsenale un insieme diversificato di potenti strumenti malware.<\/p>\n<p>Nel documento \u201c<strong>En Route with Sednit<\/strong>\u201d divulgato nell\u2019ottobre 2016, ESET ha precorso i tempi discutendo le prolifiche capacit\u00e0 del gruppo. Da allora abbiamo raccolto un ampio set di indizi rintracciando gli strumenti utilizzati dal gruppo.<\/p>\n<p>A maggio, i membri della pi\u00f9 ampia comunit\u00e0 di <strong>cyber security<\/strong> hanno descritto come il codice del file eseguibile di <strong>LoJack<\/strong> di <strong>Absolute Software<\/strong>, una soluzione legittima per il recupero di laptop, fosse stato infettato con un <strong>Trojan<\/strong>. Ora i ricercatori ESET hanno dimostrato che dietro questa infezione vi sia proprio il gruppo Sednit, noto anche come FancyBears.<\/p>\n<p>Campioni malevoli mostrano le comunicazioni con un <strong>server<\/strong> di comando e controllo (<strong>C &amp; C<\/strong>) compromesso invece del server legittimo di Absolute Software, che alterano le impostazioni di configurazione hardcoded del prodotto originale. Tra gli altri indizi troviamo l\u2019uso dei domini C &amp; C per la famigerata backdoor di primo livello, SedUploader, registrato per la prima volta nel 2017.<\/p>\n<p>A causa di queste connessioni i ricercatori di <a href=\"https:\/\/www.eset.com\/it\/\"><strong>ESET<\/strong> <\/a>hanno iniziato a riferirsi all\u2019utilizzo malevolo della campagna del software legittimo, come <strong>LoJax<\/strong>.<\/p>\n<p><strong>Cosa significa questo assalto al sistema UEFI per gli utenti?<\/strong><\/p>\n<p>Senza esagerare, il fatto che il malware che si sta infiltrando con successo nell\u2019<strong>UEFI<\/strong> sia stato trovato <strong>in-the-wild<\/strong> \u00e8 motivo di seria preoccupazione. Dal momento che l\u2019hacking UEFI migliora la persistenza del malware ed \u00e8 quasi non identificabile dai tradizionali metodi di scansione delle classiche soluzioni di sicurezza informatica, gli hacker sono alla ricerca di modi per ottenere l\u2019accesso, aumentare i privilegi degli utenti e scrivere direttamente sull\u2019interfaccia UEFI, ovvero parte della memoria <strong>flash<\/strong> che contiene il codice attendibile per avviare il computer.<\/p>\n<p>Per ulteriori informazioni sull\u2019argomento \u00e8 possibile collegarsi al seguente link: https:\/\/www.eset.com\/it\/uefi-rootkit-cyber-attack\/<\/p>\n","protected":false},"excerpt":{"rendered":"<p>UEFI e Rootkit entrano di diritto tra le APT pubblicamente riconosciute \u00a0Con il passare del tempo, la conoscenza dei termini informatici \u00e8 cresciuta sia tra il grande pubblico sia tra le imprese. Ci\u00f2 ha portato anche a una crescente consapevolezza delle minacce tecnologiche. Malware, ransomware, criptomining e minacce persistenti avanzate sono entrate nella nostra coscienza [&hellip;]<\/p>\n","protected":false},"author":4630,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[29],"tags":[],"class_list":["post-34917","post","type-post","status-publish","format-standard","hentry","category-comunicati"],"_links":{"self":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts\/34917","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/users\/4630"}],"replies":[{"embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/comments?post=34917"}],"version-history":[{"count":1,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts\/34917\/revisions"}],"predecessor-version":[{"id":34918,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts\/34917\/revisions\/34918"}],"wp:attachment":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/media?parent=34917"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/categories?post=34917"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/tags?post=34917"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}