La storia che stiamo per narrare oggi ha dell’incredibile, quasi fantascientifica: immaginate un virus informatico, così potente e letale da infettare qualsiasi PC con qualsiasi sistema operativo inventato dall’uomo. A questo aggiungiamo un’innovativa tecnologia “ad ultrasuoni” che il virus applica sulle periferiche di output sonoro (casse audio, subwoofer o speaker) per propagare l’infezione ai PC vicini dotati di microfono con un’infettività paragonabile a quella dell’influenza o del raffreddore; avremo tra le mani il virus “perfetto”, così letale e potente da distruggere ogni cosa ed infettivo come un virus biologico, su cui i moderni sistemi di difesa non possono ancora nulla.
Fantascienza…direbbero alcuni. A raccontare l’avvincente storia un grande esperto di sicurezza informatica, Dragos Ruiu, sviluppatore e hacker. Tutta verità o c’è margine per la bufala? Lo scopriremo insieme.
La Storia
Tre anni fa, il consulente per la sicurezza Dragos Ruiu si trovava nel suo laboratorio quando improvvisamente fu testimone di un fatto alquanto strano: il suo MacBook Air, il cui aveva appena reinstallato OS X con un’installazione pulita, ha automaticamente avviato un’aggiornamento del firmware del BIOS/UEFI, senza alcuna interazione dell’utente. In seguito quando Ruiu ha tentato di avviare la macchina dal CD-ROM di OS X, quest’ultimo ha rifiutato.
Nel frattempo la macchina si è avviata normalmente ed ha iniziato a cancellare i dati e annullare le modifiche alla configurazione di OS X senza chiedere conferma. Non poteva ancora saperlo all’epoca, ma nell’aggiornamento del firmware sospetto era inclusa una minaccia silenziosa, mai vista prima, da studiare con attenzione…la posta in gioco per tale scoperta era alta, e dal quel momento ha consumato la maggior parte delle sue ore di veglia per scoprire la verità.
Nei mesi successivi, Ruiu ha osservato fenomeni sempre più strani che sembravano usciti da un thriller di fantascienza. Un computer che montava un sistema operativo open (OpenBSD) ha iniziato a mostrare gli stessi sintomi del Mac: il sistema era come impazzito, si accendeva da solo, iniziava a modificare autonomamente le sue impostazioni ed a cancellare i suoi dati senza spiegazione alcuna.
Grazie alle sue abilità di hacker, con uno sniffer sulla sua rete ha ricavato un flusso di dati “anomalo”: una trasmissione cifrata non autorizzata con l’utilizzo del protocollo di rete IPv6 , anche sui computer in cui aveva il protocollo IPv6 disabilitato. Sospettava subito di aver trovato il mezzo di diffusione di questa strana minaccia, ma il bello doveva ancora venire!
Era evidente la capacità delle macchine “infette” di trasmettere piccole quantità di dati di rete con altre macchine per infettarli, ma qui arriva l’ennesima sorpresa “shockante”: le macchine comunicavano e trasmettevano l’infezione anche quando venivano scollegati i cavi d’alimentazione ai notebook e/o i loro cavi Ethernet; idem per il Wi-Fi e Bluetooth, rimossi proprio fisicamente dei rispettivi moduli o schede PCI.
Ulteriori indagini hanno presto dimostrato che l’elenco dei sistemi operativi interessati da questa strana infezione includeva molteplici varianti di Windows e Linux: Windows 98, 2000, XP, Vista, Seven e 8 e tutte le versioni di Ubuntu, Fedora, Arch Linux, SUSE e Debian dal 2005 al 2013.
“I PC erano come posseduti” ha detto Ruiu a Ars Tecnica ‘Non restava che cancellare tutti i nostri sistemi e ripartire da zero. È stato un esercizio molto doloroso. Sono stato sospettoso di questa roba qui da allora.”
Nei successivi tre anni, Ruiu ha detto che le infezioni hanno persistito, quasi come un ceppo di batteri che è in grado di sopravvivere a terapie antibiotiche estreme. Dopo poche ore o dopo settimane dalle formattazioni a basso livello dei sistemi infetti, il comportamento strano tornava puntuale.
Il segno più visibile di contaminazione è l’incapacità di una macchina per fare il boot da un CD, ma altri comportamenti più “subdoli” si poterono osservare solo utilizzando strumenti come Process Monitor, che è stato progettato per le indagini forensi.
L’analisi approfondita ha fatto riemergere un quadro decisamente inquietante: oltre alla capacità di infettare i PC via contagio diretto all’aria ed la capacità di isolare le macchine infette o sensibili da tutti gli altri computer collegati in rete, il malware sembra avere le capacità di auto-guarigione istantanee: formattare non bastava, ogni nuovo sistema operativo veniva colpito puntualmente dall’infezione.
Non ci sono stati più dubbi, e il famoso ricercatore ha reso tutto pubblico per avvisare gli utenti e per confrontarsi con gli esperti.
Nel corso delle ultime due settimane, Ruiu ha pubblicato tutto su Twitter, Facebook e Google Plus per documentare la sua odissea investigativa e per condividere una teoria che ha catturato l’attenzione di alcuni esperti di sicurezza più importanti del mondo.
Teoria del “super-virus”
Ecco la sua teoria finale: Il malware misterioso viene trasmesso da un drive USB (chiavetta o disco rigido) per infettare i più bassi livelli dell’hardware del PC, in stile BIOS Bootkit.
Il malware è in grado di flashare la EEPROM della scheda madre che ospita un Basic Input / Output System (BIOS) o i nuovissimi Unified Extensible Firmware Interface (UEFI), ma quasi sicuramente è progettato per altri standard dei firmware di boot. Il malware può attaccare una vasta gamma di piattaforme (Windows, Linux, Mac e altri), può sfuggire ai comuni metodi di rilevazione (antivirus, firewall, HIPS) e sopravvive alle maggior parti dei tentativi per sradicarla (formattazione di basso livello, zero-filling).
Fin qui nulla di nuovo, esistono già malware così aggressivi da anni; ma la storia si fa ancora più strana e solleva numerosi interrogativi sull’ultima parte della relazione sulla minaccia.
Ruiu ha postulato un’altra teoria correlata che suona come una buonissima sceneggiatura per film post-apocalittico: “badBIOS”( il nome che Ruiu ha affidato a questo presunto malware) ha la capacità di utilizzare le trasmissioni sonore ad alta frequenza tra gli altoparlanti del computer e microfoni per colmare il “vuoto d’aria e di rete” e garantire l’infezione anche su PC sconnessi dalla rete (interna o Internet).
Il malware badBIOS grazie al suo controllo diretto sulla scheda madre (e in assenza di connessioni di rete di tutti i tipi) sfrutterebbe le casse acustiche presenti sui sistemi infettati per lanciare un segnale sonoro ad ultrasuoni (impercettibile all’orecchio umano) con un raggio d’azione di 10 metri.
Se i PC sani (bersaglio) hanno un microfono incorporato, il malware è in grado di trasmettere l’infezione semplicemente “entrando nel naso del PC” via microfono fino alla scheda madre, dove una volta scaricato il nuovo firmware malevolo parte l’aggiornamento dello stesso che diffonde l’infezione. Niente impulso elettrico o scorrimento di bit: dalle prove effettuate i MacBook ritenuti sani si sono infettati solamente per “contagio aereo” dopo 2 minuti d’esposizione ad un PC Windows sicuramente infetto, quest’ultimo sprovvisto di scheda wireless e con la porta Ethernet danneggiata…ma entrambi avevano le periferiche sonore perfettamente funzionanti (casse acustiche per il PC Fisso e microfono incorporato nei Mac). La disattivazione fisica delle casse sul PC fisso ha “interrotto” le infezioni.
Ultimo indizio fornito: durante i test i cani e gli animali nelle vicinanze erano alquanto irrequieti e nervosi, chiaro segno di ultrasuoni emessi e ben percepiti dal mondo animale.
Esiste un virus così avanzato? È una bufala?
Molti esperti sono dubbiosi, compreso il sottoscritto: un semplice microfono non può “annusare” le onde sonore maligne senza una programmazione specifica. La cosa acquista “un senso” se il PC bersaglio è già infetto dal malware e quindi già sotto il suo controllo: in questo caso è possibile controllare il microfono per ascoltare i segnali maligni emessi eventualmente da altre macchine infette nelle vicinanze per coordinare l’infezione e per scambiarsi dati e codici.
Personalmente reputo che la verità può essere nel mezzo: sicuramente è possibile la realizzazione di un Bootkit BIOS/UEFI così avanzato da infettare qualsiasi sistema operativo, ma il mezzo di diffusione deve essere ancora “fisico” (inclusi anche i pacchetti via Internet) dal mio punto di vista: un device USB, un’email infetta, una pagina web opportunamente modificata etc. che portano il virus sul PC.
Una volta infettato, il virus può rimanere “latente” ma in ascolto grazie alle casse, pronto a lanciare l’eventuale onda sonora non appena capta un suo simile nelle vicinanze.
Da qui l’avvio concreto dell’infezione sulle macchine comunque già infettate: se la macchina non ha subito l’infezione primaria di badBIOS è realisticamente impossibile che la scheda madre sia in grado di decodificare l’eventuale suono maligno emesso dai PC infetti!
Se davvero esiste questo malware sarebbe sicuramente uno dei malware più avanzati creati dall’uomo: una copia perfetta di un virus biologico. Infetta di nascosto i PC, li sottopone al suo controllo, si nasconde in attesa del segnale d’attacco e si coordina con gli altri virus della stessa specie tramite una rivoluzionaria tecnologia ad ultrasuoni.
Se non esiste, possiamo stare tranquilli…è l’ennesima leggenda metropolitana! Ma se esiste e uno dei più grandi hacker del mondo ha documentato la cosa così bene…io inizierei a staccare casse e microfoni dai nostri PC, perché cade uno dei paradigmi della sicurezza informatica: “Un PC sicuro è un PC spento!”, famoso aneddoto ricavato dal libro di Kevin Mitnick.
Un PC spento ma con le casse attive…è un PC infettabile comunque!
