(Fonte da imagem: Reprodução/Ars Technica)
Três anos atrás, o consultor de segurança Dragos Ruiu estava em seu laboratório quando notou algo extremamente incomum: seu MacBook Air, no qual ele havia acabado de instalar uma cópia do OS X, espontaneamente atualizou o firmware que auxilia a inicialização do sistema. Mais estranho ainda foi o fato de que quando ele tentou fazer o boot da máquina a partir de um CD, ela o impediu.
Não bastando isso, o consultor também descobriu que a máquina deletava arquivos e desfazia mudanças de configuração sem receber comandos para isso. Mal sabia Ruiu que aquela esquisita atualização de firmware se revelaria um malware misterioso de alto risco que consumiria muitas de suas horas acordado, ao qual ele eventualmente daria o nome de badBIOS.
Nos meses seguintes, ele notou outros fenômenos incomuns que pareciam sair direto de um thriller de ficção científica. Um de seus computadores, rodando o sistema operacional Open BSD, também começou a modificar suas configurações e deletar informações sem comandos ou explicações. E isso era só o começo.
A toca do coelho
(Fonte da imagem: Reprodução/EC-Council)
A rede do consultor passou a transmitir dados específicos do protocolo de próxima geração da internet, o IPv6, mesmo a partir de computadores que supostamente tinham a tecnologia completamente desabilitada. Mas o mais estranho ainda estava por vir.
As máquinas infectadas eram capazes de transmitir pequenas quantidades de dados de rede junto a outros computadores infectados mesmo quando estavam com seus cabos de força e Ethernet desconectados e seus cartões WiFi e Bluetooth removidos. Investigações mais aprofundadas logo mostraram que a lista de sistemas operacionais afetados também incluía muitas variantes do Windows e Linux.
“A nossa reação foi algo como ‘Okay, fomos totalmente dominados. Vamos ter que apagar todos os nossos sistemas e recomeçar do zero’, o que fizemos. Foi uma experiência muito dolorosa. Eu fiquei desconfiado das coisas por aqui desde então”, disse Ruiu, em entrevista ao Ars Technica.
Esquivando-se das balas
(Fonte da imagem: Reprodução/DnA Computers Lompoc)
Segundo Ruiu, as infecções persistiram nos três anos que se passaram depois disso, quase como uma variante de bactéria capaz de sobreviver mesmo após tratamentos extremos com antibióticos. Bastavam algumas horas ou dias após apagar completamente uma máquina infectada: o comportamento estranho retornava.
O sinal mais visível de contaminação por badBIOS é a inabilidade de uma máquina ser inicializada a partir de um CD, mas comportamentos mais sutis podem ser notados ao utilizar ferramentas como o Process Monitor, que foi feito para realizar resolução de problemas e investigação forense.
Outras características intrigantes do malware são sua habilidade de ignorar “vácuos” feitos para isolar máquinas infectadas ou equipamento delicado de todos os computadores na rede e sua capacidade de regenerar a si próprio após ser aparentemente eliminado.
“Nós tínhamos um computador isolado que havia acabado de ter seu BIOS refeito, instalado um novo drive de discos, não possuía nenhum dado e foi instalado com um CD do sistema Windows. Em certo momento, estávamos editando alguns dos componentes e nosso editor de registro foi desabilitado. Nossa reação foi algo como: espere um instante, como isso é possível? Como a máquina pode reagir e atacar o software que estamos usando para atacá-la?”, disse o consultor.
O mundo precisa saber
This is the bios update it was reflashed with after pulling wifi & installing fresh drive, reinstalling. #badBIOS http://t.co/uy1mkSBWJ5
— dragosr (@dragosr) October 11, 2013
Recentemente, Ruiu vem documentando sua odisseia investigativa por meio do Twitter, Facebook e Google+. Nas redes, ele compartilhou algumas teorias que capturaram a atenção de alguns dos mais proeminentes especialistas em segurança do mundo. O consultor acredita que o malware pode ser transmitido por meio de drives USB para infectar os níveis mais baixos de hardware.
Com a habilidade de afetar o Sistema Básico de Input/Output (BIOS, em inglês), a Interface Unificada Extensível de Firmware (UEFI, na língua inglesa) e possivelmente outros padrões de firmware, o malware é capaz de infectar múltiplas plataformas, escapar das formas comuns de detecção e sobreviver à maioria das tentativas de eliminação.
A história fica ainda mais espetacular quando vemos outra teoria de Ruiu, que parece algo saído diretamente de um dos filmes do “Exterminador do Futuro”. O consultor teve indícios de que o badBIOS tem a habilidade de usar transmissões em alta frequência passadas entre alto-falantes e microfones de computadores para superar os vácuos.
Acreditar é uma escolha sua
(Fonte da imagem: Reprodução/Pipoca com Manteiga)
Com todas essas informações, a história chega a parecer o equivalente a uma visão do Pé Grande no mundo digital. O próprio Ruiu chegou a admitir que, embora vários experts de segurança tenham ajudado em sua investigação, nenhum de seus colegas revisou seu processo ou as conclusões provisórias que ele está começando a estabelecer.
Outro item sem explicação é o motivo da escolha do consultor como alvo de um ataque tão sofisticado e exótico. Embora seu prospecto como profissional de segurança, organizador das conferências internacionalmente famosas CanSecWest e PacSec e fundador da competição de hacker Pwn2Own o torne altamente atrativo para atacantes financiados por governos e crackers em busca de dinheiro, há muitos outros profissionais da área que seria alvos ainda mais interessantes.
As culturas de hacking e segurança normalmente são dominadas por um sentimento de ceticismo com relação a esse tipo de situação. Ainda assim, a reação das personalidades do mundo da segurança demonstrou não desconfiança, mas uma preocupação profunda e até mesmo admiração sobre as alegações de Ruiu a respeito do badBIOS. Nomes como Alex Stamos e Jeff Moss, dois dos mais renomados especialistas na área, endossaram a importância do trabalho do consultor.
Ponta do míssil
(Fonte da imagem: Reprodução/TechWeek Europe)
Ruiu suspeita que o badBIOS seja apenas o módulo inicial de um ataque de vários estágios com a capacidade de infectar máquinas com Windows, Mac OS X, BSD e Linux. “Ele está circulando pela internet para pegar alguma coisa, ou está saindo da chave USB da qual foi infectado. Esse também pode ser um dos motivos por que ele não permite inicialização por CDs. Ele está tentando manter suas garras sobre a máquina e não quer que você use um sistema operacional para o qual ele não tem um código”, teorizou.
Ainda é cedo demais para afirmar com certeza que o que o consultor tem estudado é um rootkit transmitido via USB que pode se embrenhar nos níveis mais baixos de um computador e usá-lo como uma base de salto para infectar outras máquinas com malware indetectável. E é ainda mais difícil determinar claramente se ele está usando transmissões de som em alta frequência para se comunicar com aparelhos isolados. Mas mesmo após duas semanas de discussões online, ninguém foi capaz de eliminar essas suspeitas.
“Parece que as técnicas de ponta em invasão estão muito mais avançadas do que havíamos presumido. O que tiramos disso é que muitos dos nossos procedimentos forenses são fracos quando usados para enfrentar desafios como esse. As companhias têm que tomar muito mais cuidado quando usarem dados forenses para encarar inimigos sofisticados”, concluiu Ruiu.
Fontes
Categorias