BadBIOS

BadBIOS è un Trojan a livello di BIOS che può influenzare i sistemi Windows, MacIntosh, Linux e BSD.

Il BIOS (Basic Input / Output System) è il firmware che viene eseguito durante l'avvio del computer. Un attacco al BIOS infetta il BIOS con codice dannoso ed è persistente durante i riavvii e i tentativi di eseguire nuovamente il flash del firmware.

Non c'è consenso nella comunità della sicurezza sull'esistenza o meno di BadBIOS. L'esperto di sicurezza Dragos Ruiu ha segnalato BadBIOS nel 2010. Secondo Ruiu, il malware può apportare modifiche al sistema operativo installato ed è reattivo, eliminando i dati e le modifiche alla configurazione apportate nel tentativo di combatterlo. Ruiu ha scoperto che BadBIOS potrebbe infettare tramite una memoria esterna, influenzando anche il firmware dell'unità flash. Anche il collegamento dell'unità senza il montaggio ha comunque trasmesso l'infezione. Il ricercatore ha anche riferito che l'infezione può creare reti IPv6 segrete e reti a maglie acustiche ed è in grado di violare e sfruttare i sistemi con air gap.

I sospetti di Ruiu furono destati quando un Macbook Air con OS X appena reinstallato fece lampeggiare spontaneamente il suo firmware. Successivamente, il sistema non si avvia da CD. Successivamente Ruiu ha osservato che le sue modifiche alla configurazione e i dati dell'utente erano stati cancellati.

Il ricercatore ha notato che questa non era l'unica macchina interessata e che l'infezione non era limitata a OS X. Anche una macchina BSD con air gap che aveva le sue unità sostituite e il suo BIOS rifasato è stata compromessa e mostrava lo stesso tipo di modifiche reattive visto sulla macchina OS X. Ruiu ha visto i pacchetti IPv6 lasciare la sua rete, nonostante avesse disabilitato completamente IPv6. Sono state scoperte anche macchine Linux e Windows interessate. 

Ruiu ha osservato che la macchina con air gap potrebbe inviare segretamente dati ad altri computer utilizzando un segnale ultrasonico dagli altoparlanti, che è stato rilevato da altri computer in ascolto infetti - un concetto noto come infezione acustica che è stato dimostrato in un exploit proof of concept.

Tra gli esperti di sicurezza che credono che BadBIOS esista, si ipotizza che il Trojan sia tra gli strumenti di hacking della National Security Agency (NSA), che hanno dimostrato di includere backdoor hardware e firmware.

Mentre rimangono molti scettici sull'esistenza di BadBIOS, quasi ogni concetto descritto da Ruiu è stato dimostrato come concetto o utilizzato nel mondo reale. La combinazione dell'uso del concetto in un pacchetto installato di nascosto è ciò che viene messo in dubbio. Nessun codice per l'exploit è stato individuato. Mentre Dragos ha estratto il codice UEFI, non è stato trovato nulla. Ha suggerito che BadBIOS potrebbe avere la capacità di cancellarsi. Molti altri presumevano che l'infezione fosse altrove, forse sui chip del controller, o che non esistesse. Al momento non ci sono prove definitive dell'esistenza del malware. Tuttavia, ulteriori perdite di hacking del firmware NSA hanno dimostrato che sono possibili più reclami ad esso associati.