Kaspersky Lab conferma la presenza di una minaccia nascosta nei BIOS dei notebook più diffusi e avverte che il software anti-furto Absolute Computrace può essere dirottato da remoto
Il team di ricercatori Kaspersky Lab ha pubblicato un report che conferma – e dimostra – che la debole implementazione del software anti-furto distribuito da Absolute Software può trasformare un’utility di difesa in una potente utility per i criminali informatici. In modo furtivo, questa applicazione offre ai criminali informatici l’accesso completo a milioni di computer. L’obiettivo della ricerca era l’agente Absolute Computrace, che si trova nel firmware o nel BIOS PC ROM dei nuovi notebook e desktop.
La ragione principale di questa ricerca è stata la scoperta dell’agente Computrace in esecuzione su numerosi computer privati dei ricercatori Kaspersky Lab e su computer aziendali senza autorizzazione. Nonostante Computrace sia un prodotto legittimo sviluppato da Absolute Software, alcuni proprietari dei sistemi si sono lamentati di non aver mai installato, attivato o di essere a conoscenza della presenza di questo software all’interno dei propri computer. La maggior parte dei pacchetti software tradizionali pre-installati può essere rimossa in modo permanente o disabilitata dall’utente. Computrace invece è stato progettato per sopravvivere alla pulizia professionale del sistema e anche alla sostituzione dell’hard disk.
Un utente può erroneamente considerare Computrace come un software nocivo poiché utilizza molti trucchi diffusi tra i malware moderni: tecniche di anti-debugging e anti-reverse engineering, inserimento nella memoria di altri processi, creazione di comunicazioni segrete, patch dei file di sistema sul disco, mantenimento dei file di configurazione crittografati e il rilascio di un file eseguibile Windows direttamente dal BIOS/ firmware.
“I potenti attori in grado di sfruttare la fibra ottica possono potenzialmente dirottare i computer che eseguono Absolute Computrace. Questo software può essere usato per sviluppare impianti spyware”, ha dichiarato Vitaly Kamluk, Principal Security Researcher, Global Research and Analysis team, Kaspersky Lab. “Secondo le nostre stime, milioni di computer stanno eseguendo il software Absolute Computrace e numerosi utenti possono non essere a conoscenza del fatto che questo software sia stato attivato e sia operativo. Chi ha una ragione per attivare Computrace su tutti questi computer? Sono stati monitorati da un attore sconosciuto? Questo è il mistero che deve essere risolto”.
Statistiche
● Secondo il Security Network di Kaspersky, ci sono circa 150.000 di utenti che hanno l’agente Computrace attivo sulle proprie macchine. La stima totale degli utenti con l’agente Computrace operativo può superare i 2 milioni. Non è chiaro quanti di quegli utenti sappiano che Computrace è in esecuzione nei propri sistemi.
● La maggior parte di questi computer si trova negli Stati Uniti e in Russia.
Falle di sicurezza
Il protocollo di rete usato da Computrace Small Agent offre le funzionalità di base per l’esecuzione del codice da remoto. Il protocollo non richiede di utilizzare nessuna crittografia o autenticazione del server remoto, che crea molte opportunità di attacchi da remoto in un ambiente di rete ostile.
Una piattaforma di attacco
Non ci sono prove che Absolute Computrace sia stato usato come piattaforma per gli attacchi. Tuttavia gli esperti di diverse aziende vedono la possibilità di questi attacchi, alcuni casi allarmanti e inaspettati di attivazioni non autorizzate di Computrace li rendono sempre più realistici.
Già nel 2009, i ricercatori di Core Security Technologies avevano presentato i propri risultati su Absolute Computrace. I ricercatori lanciarono un’allerta sui pericoli derivanti da questa tecnologia e come un criminale informatico potesse modificare il registro di sistema per dirottare i callback di Computrace. Un comportamento aggressivo del Computrace Agent era stato la ragione che in passato portò a rilevare il malware. Secondo alcuni report, Computrace era stato rilevato da Microsoft come VirTool:Win32/BeeInject. Tuttavia, la rilevazione è stata successivamente rimossa da Microsoft e da altri vendor anti-malware. I file eseguibili di Computrace sono attualmente nella whitelist della maggior parte delle società anti-malware.
“Uno strumento così potente come il software Absolute Computrace deve usare meccanismi di autenticazione e crittografia per poter essere operativo nella massima sicurezza. E’ chiaro che se ci sono diversi computer con agenti Computrace attivi, è responsabilità dell’azienda produttrice (in questo caso Absolute Software) notificarlo agli utenti e spiegare come il software può essere disattivato e disabilitato”, ha aggiunto Kamluk. In caso contrario, questi agenti orfani continueranno ad essere operativi in modo inosservato e ad offrire la possibilità di exploit da remoto”.
