Dalla Cina un rootkit per BIOS

L’ultima novità in materia di attacchi informatici ha gli occhi a mandorla: dalla Cina giunge infatti notizia della diffusione di un rootkit che ha come bersaglio un componente finora ritenuto sufficientemente sicuro. Battezzato Mebromi, tale rootkit prende infatti di mira il BIOS della macchine infettate, compromettendone dunque la sicurezza di uno degli elementi chiave.

L’infezione ha luogo mediante 5 file criptati contenuti in un archivio, i quali costituiscono il cuore della minaccia: ad esser preso di mira non è difatti il solo BIOS, bensì anche altri elementi del sistema utilizzato. La minaccia riguarda anche il Master Boot Record dell’hard disk utilizzato per l’avvio del sistema operativo ed il kernel di quest’ultimo, mentre appositi strumenti si occupano di infettare una serie di file eseguibili e di scaricare trojan per spalancare le porte ad eventuali intrusioni dall’esterno.

Prima di poter infettare il computer in uso, Mebromi necessita di essere eseguito in modalità kernel e per fare ciò cerca di ottenere i privilegi necessari seguendo due strade diverse: entrambe conducono nella direzione della libreria bios.sys, la quale viene sovrascritta con un nuovo file il quale si occupa di gestire l’infezione inserendo codice maligno all’interno del BIOS. Di qui si passa dunque all’infezione dell’intero sistema, compromettendone in maniera piuttosto pericolosa la sicurezza sin dalle fondamenta.

Mebromi può essere dunque considerato il primo rootkit per BIOS in grado di minacciare seriamente gli utenti, ma al momento il pericolo risulta piuttosto confinato: ad essere in pericolo sono soltanto gli utenti cinesi (il rootkit effettua infatti una scansione per individuare la presenza di due antivirus asiatici) dotati di computer con a bordo una scheda madre con BIOS Award, già in passato al centro di un “proof of concept” che a quanto pare è andato ben oltre le semplici sperimentazioni a scopo illustrativo.