APT32 e BiosUEFI infetto
 

Strontium APT32 e UEFI
26 ottobre 2021

Avrei potuto rispondere a qualche altra discussione in questo forum, per aspetti quasi analoghi.
Ma per interventi di alcuni anni fa, forse non avrei potuto attrarre la attenzione per questo caso specifico.
Nemmeno il settore Sicurezza avrebbe potuto soddisfare appieno la disamina di questo problema.
Qui non si tratta di un velleitarismo per cambiare un Home in un Pro e per complicarsi le cose con i diritti proprietari della Microsoft, ma di ben altro.
Veniamo al dunque.
____________________________
Portatile Asus del 2016, con Windows 10 Home.
L'utente ha beccato ignaro un bel Strontium del gruppo russo APT32, forse per un antivirus non perfettamente aggiornato, forse per un bug dello stesso antivirus, forse per una chiavetta infetta, ma ormai il guaio è fatto.
In genere non ci si accorge di questo particolare virus (o non so come altro definire), perché "costui" è molto discreto e non da segni evidenti di presenza.
Si comporta come un Herpes Zooster, sta lì zitto nascosto nel Chip del BiosUEFI saldato sulla scheda madre, e aspetta.
Attende di trovarsi in una Banca, in un sito istituzionale, in un ganglio importante di qualche grossa azienda, o di siti militari, o di istituti di ricerca scientifica o industriale, per attivarsi e assolvere al suo scopo, che sarebbe "hackerare" e spiare dati da esportare, oppure di danneggiare il sistema informatico.
__________________
Si cerca sul web qualche soluzione, ma si trovano solo "bellissime chiacchiere" di saccenti informatici, che ripetono pedissequamente le stesse cose, descrivendo il tipo di virus, i danni che può provocare, reclamizzando la marca di un antivirus o dei migliori 10 antivirus, con un cumulo di argomentazioni note ai più, che non risolvono niente.
Questo è in larga parte il web.
E' superfluo riportare che ogni tentativo di eliminare un "qualcosa" con sistemi software è fallito, perché ogni aggiornamento antivirus è controllato e bloccato dal virus che si insedia nel Kernel e nella Ram, nemmeno con nuove installazioni di antivirus ultrapotenti e blasonati.
Nemmeno si ottiene un accidenti con il tentativo di aggiornare il BiosUEFI per due vie, Win e Dos.
Con Win l'aggiornamento avviene perfettamente, ma il virus, che non si oppone, resta al suo posto.
Con il Dos, da pennetta o da CD con avvio Dos, il sistema si blocca appena si clicca "Enter" dalla riga di comando per avviare l'aggiornamento.
Il virus non è fesso, è ben fatto ed è la risposta perfetta alla Microsoft ed ai creatori di UEFI.
Lasciamo perdere le "legittimissime" sarcastiche obiezioni ai genialissimi creatori di UEFI, e degli aggiornamenti facili del BiosUEFI con un click del mouse o con un tasto "Enter", goduriosa opzione che permette a Microsoft, in accordo con i costruttori, di aggiornare tutto il software di controllo dell'hardware ad ogni piè sospinto, incluso UEFI, con appunto un click.
Così si possono introdurre migliaia di modifiche, anche azzardate, tanto si "aggiorna anche il BiosUEFI", con buona pace dei Gamers e degli affezionati delle "ultime novità".
Questo garantirebbe sicurezza di un aggiornamento UEFI con assoluta facilità, ma in cambio questa opzione "lusinghiera" può esporre il sistema ai virus raffinati dei più grossi gruppi hacker internazionali, senza alcun blocco hardware, ma con un "click".
Infatti, nelle opportune condizioni, basta un click, con una certificazione fasulla, per entrare nel "Grand Hotel" dalla porta principale, girevole, sì, ma sempre aperta per gli aggiornamenti "certificati".
E nemmeno si è pensato di lasciare uno "zoccolo duro" di Bios elementare, su un altro secondo chip inarrivabile e non raggiungibile via software, in modo da poter cancellare il chip del BiosUEFI e poter riscrivere un firmware "pulito", a parte le schede madri GigaByte o come qualcosa di analogo, ma tanto rara da essere come mosca bianca.
Viva questo straordinario progresso.
__________________________________
Smonto tutto il portatile pezzo a pezzo, prendo saldatore e attrezzini vari, preparo il tool per flashare il chip del BiosUEFI, acquisto un chip identico (vuoto) per eventuale sostituzione, preparo drivers e software CH341A su un altro PC Desktop munito di Kaspersky aggiornato, scarico il firmware del BiosUEFI del portatile da ASUS, mi munisco del cavo con pinzetta a otto piedini per esaminare il chip saldato sulla MOBO, dissaldo la batteria del Cmos (basta solo un terminale dei due), faccio una copia del firmware del BiosUEFI e la salvo, confronto tale copia con quella originale scaricata dal sito della Asus, trovo le evidenti differenze su alcuni settori per diverse centinaia di KB (amabile virus!), e mi domando:
________________________________
ECCO la domanda per il forum:
Come posso essere sicuro di estirpare totalmente il virus se non elimino "a raso" tutti i dati dentro il chip?
E se elimino tutto "a raso", con tutti i campi "blank", poi, come ripristino il codice Product Key OEM della Microsoft per Windows 10 Home?
Parlo del codice "Scolpito in Eterno" dentro il chip, come credono tanti espertissimi di informatica che non hanno mai preso un cacciavite in mano, ma che si può cancellare in un istante con i programmi tipo CH341A Programmer 1.34 o con altri analoghi.
Bene, estirpato ogni bit dal Chip, posso riscrivere il nuovo firmware, ma poi, anche se eseguo una copia del codice OEM product key, come lo devo reinserire nell'apposito spazio a lui assegnato dentro al chip?
E su questo tema, ebbene, è qui che vorrei verificare tutta la potenza di questo forum.
Sia ben chiaro che mi sono letto tutte le specifiche di AfuDos Aptio 4 e 5, con tutte le istruzioni e i parametri a linea di comando, sulla documentazione Asus in pdf.
Ma il parere di un esperto di questo forum mi agevolerebbe di molto il compito.
________________________________
Altrimenti, quali alternative?
Un bel PowerShell con qualche "istruzioncina" di Microsoft per spaventare il virus e farlo scappare dal Chip?
Oppure si butta il portatile in discarica, con somma gioia (direi ben studiata e predisposta) dei costruttori di hardware e di Microsoft, che venderebbe una nuova licenza Oem?
A voi la parola, evidentemente con un doveroso ringraziamento per risposte produttive.
Siamo su un forum importante, e quindi ci saranno ora e negli anni futuri persone che leggeranno queste pagine.
Grazie in anticipo.

Carneade, chi era costui?
 

Forse non c'è una sezione adatta in questo forum per questa problematica.
Purtroppo c'è molto ottimismo in certi settori, che non tollerano osservazioni quando si mette il dito sulla piaga.
Sarebbe come dover rispondere ad un teorema di meccanica quantistica da parte di chi scrive felicemente solo racconti per l'infanzia.
Allora in quel caso è meglio scrivere "sezione errata" e liquidare il problema.
Ma così si nasconde quanto c'è di errato nelle scelte dei costruttori di hardware e dei creatori di software.
Meglio non sollevare il velo.... e sottoscrivere "Discussione chiusa".

amen, reverendo :O

:asd:

Azz... hai scoperto tutto!!

mi tocca bannarti per metterti a tacere!!!

sai, devo mantenere il clima fascista di questo forum!!!






:rolleyes:

CLOSED!!

>bYeZ<