Cientistas de segurança cibernética do gigante do sector Kaspersky alertaram para uma campanha avançada de ameaça persistente (APT), apelidada de MosaicRegressor, que está a utilizar uma variedade raramente vista de malware conhecido como um bootkit de firmware para estabelecer a persistência em computadores alvo.

O malware tem sido utilizado em ataques direccionados – descritos como uma estrutura modular complexa e multi-estágio utilizada para espionagem e exfiltração de dados – destinada a diplomatas e pessoal de organizações não governamentais (ONG) de África, Ásia e Europa. Enquanto Kaspersky colocou uma ligação à Coreia do Norte ou à Rússia, a campanha ainda não pode ser ligada com confiança a nenhum actor conhecido.

Identificado pelos scanners Kaspersky, o malware foi encontrado à espreita na Unified Extensible Firmware Interface (UEFI) do seu computador alvo, o que o torna particularmente perigoso.

Isto porque a UEFI é uma parte essencial de uma máquina que começa a funcionar antes do sistema operativo (SO) real no arranque, o que significa que se o seu firmware puder ser modificado para conter código malicioso, esse código também será lançado antes do SO, tornando-o potencialmente invisível a quaisquer soluções de segurança instaladas.

Além disso, o facto de o firmware UEFI residir num chip flash separado do disco rígido torna os ataques contra ele altamente evasivos e persistentes, porque independentemente de quantas vezes o SO for reinstalado, o malware permanecerá no dispositivo.

“Embora os ataques UEFI apresentem amplas oportunidades para os actores da ameaça, o MosaicRegressor é o primeiro caso publicamente conhecido em que um actor da ameaça usou um firmware UEFI malicioso e feito à medida na selva”, disse o investigador sénior da Kaspersky Global Research and Analysis Team (GReAT), Mark Lechtik.

“Ataques anteriormente conhecidos observados na selva simplesmente re-propõe software legítimo (por exemplo, LoJax), tornando este o primeiro ataque na selva alavancando um bootkit UEFI feito à medida.

“Este ataque demonstra que, embora raramente, em casos excepcionais, os actores estão dispostos a fazer grandes esforços para ganhar o mais alto nível de persistência na máquina de uma vítima. Os actores de ameaças continuam a diversificar os seus conjuntos de ferramentas e tornam-se cada vez mais criativos com as formas como visam as vítimas – e o mesmo deveria acontecer com os vendedores de segurança, para se manterem à frente dos perpetradores.

“Felizmente, a combinação da nossa tecnologia e compreensão das campanhas actuais e passadas, alavancando o firmware infectado, ajuda-nos a monitorizar e informar sobre futuros ataques contra tais alvos,” disse ele.

Kaspersky disse que os componentes do bootkit personalizado foram encontrados com base no bootkit VectorEDK desenvolvido pela Hacking Team, que vazou há cinco anos. Kaspersky disse suspeitar que os actores por detrás da campanha MosaicRegressor foram capazes de utilizar o código divulgado para construir o seu próprio software muito facilmente.

“A utilização de código fonte de terceiros e a sua personalização num novo malware avançado levanta mais uma vez mais um outro lembrete da importância da segurança dos dados. Uma vez que o software – seja um bootkit, malware ou qualquer outra coisa – é libertado, os actores da ameaça ganham uma vantagem significativa”, disse Igor Kuznetsov, principal investigador de segurança do GReAT.

“As ferramentas livremente disponíveis dão-lhes uma oportunidade de avançar e personalizar os seus conjuntos de ferramentas com menos esforço e menos hipóteses de serem detectados”, disse ele.

Kaspersky disse não ter detectado o vector exacto de infecção que permitiu ao grupo sobrepor o firmware original UEFI, mas com base no que já sabia sobre o VectorEDK, sugeriu que as infecções poderiam ter sido possíveis com acesso físico à máquina alvo, especificamente com uma chave USB de arranque contendo um utilitário de actualização que remendaria o firmware para o fazer instalar um descarregador de trojan.

Um cenário alternativo e mais provável é que os componentes do MosaicRegressor foram entregues utilizando a entrega de um conta-gotas de malware escondido num arquivo, juntamente com um ficheiro de engodo.