Por Dan Goodin, 31 de octubre de 2013
Hace tres años, el consultor de seguridad informática Dragos Ruiu trabajaba en su laboratorio cuando se dio cuenta de que estaba ocurriendo algo inusual: su ordenador MacBook Air, en el que acababa de instalar una nueva copia del sistema operativo OS X, actualizó de forma espontánea el firmware que ayuda en el arranque. Más extraño aún, cuando Ruiu trató después de arrancar su máquina con un CD-ROM no pudo. También descubrió que el ordenador borraba datos y deshacía cambios de configuración sin solicitar la confirmación. Él no lo sabía entonces, pero aquella actualización del firmware había infectado la máquina con un malware de alto riesgo que consumiría la mayor parte de sus horas de trabajo.
En los meses siguientes, Ruiu observó otros fenómenos extraños que parecían salidos directamente de una película de ciencia-ficción. El sistema operativo Open BSD también comenzó a modificar su configuración y a borrar datos sin solicitar la confirmación. Su red transmitía datos específicos a través del protocolo IPv6 de nueva generación, aunque estuviese esta funcionalidad deshabilitada. Lo más extraño de todo fue la capacidad de los equipos infectados de transmitir pequeñas cantidades de datos a otras máquinas infectadas, y eso aún cuando los cables de alimentación y los cables Ethernet estaban desconectados y las tarjetas Wi-fi deshabilitadas. Una investigación adicional demostró que los sistemas operativos que se podían infectar también incluía a múltiples variantes de Linux y de Windows.
“Teníamos que borrar todos nuestros sistemas operativos y empezar de nuevo, lo cual hicimos. Es una tarea ardua. Y he mostrado mis dudas sobre todo este asunto”, dijo Ruiu a Ars.
En estos tres años, dijo Ruiu, las infecciones se han mantenido, algo parecido a una bacteria que se hace resistente a los tratamientos con antibióticos. En cuestión de horas, después de dedicar semanas a limpiar un ordenador infectado, el extraño comportamiento volvía a repetirse. El signo más visible de que la máquina está infectada es su incapacidad para arrancar desde un CD, pero también se observan otros comportamientos más sutiles cuando se utilizan herramientas como el Monitor de Procesos, que está diseñado para la resolución de problemas y análisis forenses.
Otra característica interesante: además de saltar las protecciones de una red de ordenadores que se aíslan del resto de equipos de la red (airgap), el malware parece tener la capacidad de autocurarse.
“Teníamos un ordenador aislado de la red con su BIOS inalterable, el disco con el sistema operativo recién instalado y sin datos en él, a partir de un CD-ROM de Windows. Nos pusimos a editar algunos de sus componentes y el editor de registro consiguió deshabilitarlos. ¿Cómo puede suceder esto? ¿Cómo puede reaccionar la máquina y atacar el software que estábamos usando para atacar? Se trataba de una máquina aislada de la red, en la que de repente el editor de registro dejó de funcionar cuando lo estábamos usando en la búsqueda de las llaves”, dijo Ruiu.
En las últimas semanas, Ruiu ha informado de sus investigaciones a través de Twiter, Facebook y Google Plus, para de esta manera compartir una teoría que ha captado la atención de expertos de seguridad de todo el mundo. Ruiu cree que el malware se transmite a través de las unidades USB, infectando en los niveles más bajos del hardware del equipo. Con la capacidad de infectar la BIOS, y Unified Extensible Firmware Interface (UEFI), este software malicioso puede atacar una amplia variedad de plataformas, escapar a las formas más comunes de detección y a la mayoría de los intentos por erradicarlo.
Por si todo esto no resultase extraño ya de por sí, todavía queda más. En estos tres artículos, aquí, aquí y aquí, Ruiu concibe otra teoría que suena al guión de una película: badBIOS sería capaz de utilizar las altas frecuencias de los altavoces del ordenador y del micrófono para salvar las protecciones del ordenador (airgap).
Persisten las amenazas informáticas
He estado informándome de toda esta cuestión y llegó a parecerme una leyenda urbana, algo así al avistamiento de un Bigfoot. En efecto, Ruiu ha admitido que otros compañeros expertos en seguridad han investigado, pero ninguno de ellos ha dado por bueno su proceso o las conclusiones provisionales ( Unas recopilación de las observaciones de Ruiu se pueden encontrar aquí).
También resulta inexplicable por qué Ruiu iba a ser el objetivo de un ataque tan avanzado y exótico. Como profesional de la seguridad, organizador de las internacionalmente reconocidas conferencias CanSecWest y PacSec, y el fundador de la competición Hacking Pwn2Own, puede tener sin duda su atractivo para el espionaje patrocinado por el Estado y aquellos hackers que están motivados por el dinero. Pero no es objetivo más atractivo que otros cientos o miles de sus compañeros, que hasta el momento no han informado de estos fenómenos extraños que han afectado a los ordenadores y redes de Ruiu.
En contraste con el escepticismo, algo normal en la cultura de seguridad y la piratería informática, los compañeros de Ruiu han respondido con una profunda preocupación e incluso se han sentido fascinados por badBIOS.
“Todos los expertos en seguridad tienen que seguir a @dragosr y ver sus análisis de #badBIOS, dijo en Twiter Alex Stamos, uno de los investigadores de seguridad más confiables y sobrios. Jeff Moss, fundados de Defcon y las conferencias de Seguridad Blackhat, que en 2009 comenzó a asesorar a la Secretaria del Departamento de Seguridad Nacional, Janet Napolitano, en materia de seguridad informática, dijo: “No es una broma, esto va en serio”. Otros muchos dicen lo mismo.
“Dragos es sin duda una persona en la que se puede confiar, y nunca he pensado en una actuación deshonesta suya”, dijo el investigador en seguridad Arrigo Triulzi a Ars. “Nada de lo que él describe es ciencia-ficción, considerado individualmente, pero nunca he visto algo parecido”.
Estuvo allí, lo hizo
Triulzi dijo que ha visto en el laboratorio muchos programas maliciosos que tenían como objetivo el firmware. Un cliente suyo tuvo infectado la BIOS UEFI de su ordenador portátil Mac, en lo que formaba parte de un experimento. Hace cinco años, el propio Triulzi desarrolló un concepto de malware que infectaba sigilosamente los controladores de la interfaz de red, que se conectan a la placa base del PC y es donde se inserta la toma Ethernet para conseguir el acceso del equipo a la red. John Heasman demostró como infectar malware difícil de detectar, tales como un rootkit, en los componentes periféricos de un ordenador, las conexiones desarrolladas por Intel para integrar los dispositivos hardware en la CPU.
También es posible utilizar los sonidos de alta frecuencia emitidos por los altavoces para enviar paquetes de red. Los primeros estándares de red utilizaron esta técnica, dijo el experto en seguridad Rob Graham. La gestión de redes ultrasónicas también son el objetivo de una gran cantidad de investigaciones, incluyendo a científicos del MIT.
Por supuesto, una cosa es observarlo en el laboratorio por parte de los investigadores, demostrar que es viable infectar el firmware por rootkits o por técnicas de redes de alta frecuencia, pero como sugiere Triulzi, otra cosa completamente diferente es fusionar perfectamente ambas cosas y utilizarlas como un arma en el mundo real contra un experto en seguridad. Es más, el uso de la memoria USB para infectar una amplia variedad de plataformas informáticas a nivel de la BIOS, ya se encontraba en el gusano Stuxnet, que Estados Unidos empleó para interrumpir el programa nuclear de Irán. Y la capacidad de badBIOS para saltarse los sistema de protección de un ordenador dentro de una red tiene paralelismos con Flame, otro engendro patrocinado por el Estado, que se transmitía por la señales de radio de los dispositivos Bluetooth que utilizan para comunicarse con los dispositivos que no están conectados a Internet.
“En realidad, todo lo que dice Drago entra dentro de lo factible y al alcance de mucha gente”, dijo Graham, director general de pruebas de penetración en la empresa Errata Security. “Podría, si tuviera tiempo, desarrollar un malware que infectase la BIOS al estilo de lo que dice Dragos sobre badBIOS. Comunicarse a través de las ondas de alta frecuencia entre ordenadores es fácil, muy fácil”.
En coincidencia, los periódicos italianos informaban que esta semana los espías rusos trataron de controlar a los asistentes a la cumbre económica del G-20 regalándoles tarjetas de memoria USB para interceptar las comunicaciones.
Eureka
Durante los tres años que lleva Ruiu luchando contra badBIOS, el mecanismo de infección sigue siendo un misterio. Hace unos meses, después de comprar un equipo nuevo, se dio cuenta de que resultó infectado casi de forma inmediata nada más conectar sus dispositivos USB en el mismo. Así surgió la teoría de que los ordenadores infectados tienen la capacidad de contaminar los dispositivos USB y viceversa.
“En estos momentos tengo la sospecha de que se produce algún tipo de desbordamiento del búfer cuando la BIOS accede al dispositivo, reprogramando el controlador flash para desbordar la BIOS y luego agregar una sección a la BIOS”, explicó.
Todavía no se sabe si una memoria USB fue el detonante de la infección inicial de su MacBook Air hace tres años, o si los dispositivos USB se infectaron después de conectarlas a las máquinas infectadas, que según dijo son entre una y dos docenas. Ha sido capaz de identificar una variedad de dispositivos USB que infectan a cualquier computadora a la que se conecten. En la Conferencia de PacSec del mes que viene, Ruiu dijo que planea tener acceso a un costoso análisis del hardware USB y así obtener pistas de los mecanismos de infección.
Dijo que sospecha que badBIOS es sólo un módulo inicial de una carga útil multiorganizada, que tiene la capacidad de infectar a los sistemas operativos Windows, Mac OS X, BSD y Linux.
“Obtiene algo de la red o del mismo llavero USB que causó la infección”, teorizó. “Esta es una conjetura de por qué no se puede arrancar desde un CD. Está tratando, por así decirlo, de mantenerse unido a la máquina. No quiere arrancar otro sistema operativo que no tenga el código”.
Para decirlo de otra manera, “badBIOS es sólo la punta del iceberg, por así decirlo”.
Las investigaciones continúan
Ruiu dijo que llegó a la teoría sobre la capacidad de utilizar la red de alta frecuencia por parte de badBIOS después de observar que paquetes cifrados de datos eran enviados desde un ordenador portátil infectado que no tenía conexión con la red, pero estaba muy cerca de otro equipo infectado por badBIOS. Los paquetes se transmiten incluso cuando el portátil no tiene conexión Wi-Fi y han sido desconectadas las tarjetas Bluetooh. Ruiu también desconectó el cable de alimentación de la máquina, por lo que sólo funcionaba la batería, para descartar la posibilidad de que se estuviesen recibiendo señales a través de la red eléctrica. Incluso así, las herramientas forenses mostraron que los paquetes seguían enviándose sobre la máquina aislada de la red (airgap). Entonces, Ruiu retiró el altavoz interno y el micrófono conectado a la máquina, y de repente cesó el envío de paquetes.
Cuando los altavoces y el micrófono estaban en funcionamiento, Ruiu comprobó que el ordenador aislado de la red usaba la conexión de alta frecuencia para mantener la integridad de la infección badBIOS mientras trabajaba en desmontar los componentes del software malicioso”.
“La máquina aislada de la red actúa como si estuviera conectada a Internet. La mayoría de los problemas que teníamos es que estábamos deshabilitando componentes del sistema, desactivando algunas cosas. Pero se recomponían de inmediato. Era extraño”.
Es demasiado pronto para decir que lo que Ruiu ha observado sea un rootkit transmitido por los dispositivos USB, que puede esconderse en los niveles más bajos de una computadora y usarlos como punto de partida para infectar una amplia variedad de sistemas operativos con malware que no puede ser detectado. Es aún más difícil saber a ciencia cierta si los sistemas infectados utilizan sonidos de alta frecuencia para comunicarse con las máquinas aisladas de la red. Pero después de casi dos semanas de discusión, casi nadie ha sido capaz de descartas estos inquietantes escenarios.
“Parece que en materia de intrusión se ha avanzado mucho más de lo que pensaba”, dijo Ruiu en una entrevista. “Lo que ocurre es que muchos de nuestros sistemas forenses son débiles cuando se enfrentan a retos como éste. Muchas empresas tienen que tener mucho cuidado cuando analizan los datos forenses frente a atacantes tan sofisticados”.
Nota del autor
Queridos lectores de Ars Technica:
Después de 17 años como periodista, nunca he escrito una parodia para el Día de los Inocentes, o cualquier otra festividad. No tenía intención de hacerlo con este artículo; el que coincidiese con el día de Halloween ha sido pura casualidad.
Ya he dicho que muchos de los detalles que se citan me han parecido exagerados. También he tratado de ser transparente y de obtener información de otras fuentes distintas a lo dicho por Ruiu. Dicho esto, los datos han estado disponibles desde hace dos semanas, y una gran cantidad de compañeros de Ruiu lo encuentran creíble.Decidí resolver este conflicto entre mi propio escepticismo y la reacción de los compañeros investigadores de seguridad de Ruiu, que hasta el momento no han hecho una revisión por pares de la investigación sobre los procesos seguidos por Ruiu ni de los resultados. No tengo ninguna duda de que los investigadores han estudiado minuciosamente los portátiles y unidades USB, los cuales ha puesto a disposición Ruiu para una investigación independiente y llegar a sus propias conclusiones. Tengo la intención de informar de todo lo que encuentre. Si no se encuentran evidencias de lo que dice Ruiu, los lectores de Ars Technica serán los primeros en saberlo. Un saludo, Dan Goodin