¿Es posible que existan malwares capaces de infectar las secciones más profundas de una computadora? ¿Saben exactamente cuando los estás buscando y te lo notifican a través de sonidos de alta frecuencia?
Para una persona promedio, esto podría parecer un poco traído de los pelos. Sin embargo, si le preguntas a un hombre llamado Dragos Ruiu, podrías encontrarte con un firme “sí”.
Apodado “badBIOS”, Ruiu descubrió este malware hace tres años cuando notó un comportamiento extraño en su Macbook Air. Desde entonces, empezó una batalla contra ellos.
Ruiu, un reconocido profesional de la seguridad por organizar la conferencia anual CanSecWest, es el fundador de Pwn2Own, un concurso que tuvo lugar en la misma conferencia en donde los participantes “explotan” software populares.
Ruiu confía en que los los malware se propagan por memorias USB, aunque esto no ha sido confirmado.
La semana pasada en una publicación en Google+ escribió, “Ayer perdí otro más confirmando que simplemente conectando en un dispositivo USB proveniente de un sistema infectado a otro sano es suficiente para infectarlo.”
De acuerdo con este análisis, la forma más fácil de determinar si badBios infectó una computadora es su incapacidad de arrancar desde el CD-ROM. Ruiu cree que así para evitar que los usuarios arranquen un Sistema Operativo que podría no ser soportado por el malware.
“Esta tratando de mantener sus garras sobre la máquina”. Escribió Ruiu. “No quieres que ejecutes otro Sistema Operativo para el que no fue escrito”.
A través de los años, esta funcionalidad del malware ha permanecido, como Ruiu sostuvo la última semana que “el indicador sigue siendo que los sistemas badBIOS se resisten a arrancar CDs (para todos los S.O., incluido mis Macs)”.
Además se informó que el mismo posee mecanismos de defensa. En un punto Ruiu intentó buscar las estradas de registro del malwares, sólo para descubrir que la función de búsqueda ya no funcionaba.
“Estábamos editando algunos componente y nuestro editor de registro fue deshabilitado”, sostuvo Ruiu, “fue como: espera un minuto, ¿cómo pudo pasar eso? ¿Cómo puede la máquina reaccionar y atacar el software que estábamos utilizando para atacarlo? Esta es una máquina “air gap” y de repente la función de búsqueda del registro dejó de funcionar mientras lo estábamos usando para buscar entradas”.
Lo más interesante de badBIOS, sin embargo, es la hablidad de saltear “air gaps”; eso es, aislar áreas para la computadora infectada, desconectándola de todas las computadoras en la red.
“Ahora resulta que esos quejidos molestos de alta frecuencia en mi sistema de sonidos no eran ruidos electrónicos que ha estado azotando mi cableado por años”, escribió en un artículo. “Son en realidad transmisiones ultrasónicas de alta frecuencia que el malware ha estado utilizando para comunicarse con las computadoras “air gap”. Sostiene además que estas computadoras actúan como si estuvieran conectadas directamente a internet.
Por supuesto que, en este punto, nada de esto ha sido demostrado. En realidad, ninguno de los análisis o procesos de Ruiu, fueron comentados. Todavía no hubo ningún análisis oficial publicado por Ruiu, y además parece tan peculiar que después de tres años, Ruiu haga público esta información recién hace dos semanas.
Tampoco se ha demostrado su falsedad.
En realidad, las capacidades informadas en el malware badBIOS, no están enteramente fuera de lo posible. Si lo recuerdas, el tristemente célebre malware Flame utilizado para ciber espionaje tenía capacidades para guiar desde dispositivos Bluetooth infectados. Además, Dan Goodin de Ars Technica menciona una extensa investigación en redes ultrasónicas realizadas por MIT.
¿Podría badBIOS llevar los malware modernos a un nuevo nivel?
======================================
Artículo original escrito por Joshua Cannel, un analista en malwares con 5 años de experiencia trabajando para las agencias de inteligencia de los Estados Unidos.
Adaptación al español por @FCs33