Cyber-Sicherheitsforscher des Branchenriesen Kaspersky haben vor einer APT-Kampagne (Advanced Persistent Threat) mit dem Namen MosaicRegressor gewarnt, die eine seltene Malware-Variante nutzt, die als Firmware-Bootkit bekannt ist, um sich auf Zielcomputern festzusetzen.
Die Malware wurde in gezielten Angriffen eingesetzt – beschrieben als ein komplexes und mehrstufiges modulares Framework, das für Spionage und Datenexfiltration verwendet wird – und zielte auf Diplomaten und Mitarbeiter von Nichtregierungsorganisationen (NGOs) aus Afrika, Asien und Europa. Während Kaspersky eine Verbindung zu Nordkorea oder Russland vermutet, kann die Kampagne bisher keinem bekannten Akteur zugeordnet werden.
Die von Kasperskys Scannern identifizierte Malware lauerte im Unified Extensible Firmware Interface (UEFI) des Zielcomputers, was sie besonders gefährlich macht.
Das UEFI ist nämlich ein wesentlicher Bestandteil eines Rechners, der beim Booten vor dem eigentlichen Betriebssystem (OS) zu laufen beginnt. Das bedeutet, dass, wenn seine Firmware so modifiziert werden kann, dass sie bösartigen Code enthält, dieser Code auch vor dem OS gestartet wird, wodurch er potenziell für alle installierten Sicherheitslösungen unsichtbar wird.
Die Tatsache, dass sich die UEFI-Firmware auf einem von der Festplatte getrennten Flash-Chip befindet, macht Angriffe auf diese Firmware sehr ausweichend und hartnäckig, denn egal wie oft das Betriebssystem neu installiert wird, die Malware bleibt auf dem Gerät.
„Obwohl UEFI-Angriffe den Bedrohungsakteuren viele Möglichkeiten bieten, ist MosaicRegressor der erste öffentlich bekannte Fall, in dem ein Bedrohungsakteur eine speziell angefertigte, bösartige UEFI-Firmware in freier Wildbahn verwendet hat“, sagt Mark Lechtik, Senior Security Researcher bei Kaspersky Global Research and Analysis Team (GReAT).
„Bisher bekannte Angriffe, die in freier Wildbahn beobachtet wurden, haben einfach legitime Software (z.B. LoJax) umfunktioniert. Dies ist der erste Angriff in freier Wildbahn, bei dem ein speziell angefertigtes UEFI-Bootkit zum Einsatz kommt.
„Dieser Angriff zeigt, dass Bedrohungsakteure, wenn auch selten, in Ausnahmefällen bereit sind, große Anstrengungen zu unternehmen, um ein Höchstmaß an Persistenz auf dem Computer eines Opfers zu erreichen. Bedrohungsakteure diversifizieren weiterhin ihre Toolsets und werden immer kreativer bei der Art und Weise, wie sie ihre Opfer ins Visier nehmen – und das sollten Sicherheitsanbieter auch, um den Tätern einen Schritt voraus zu sein.
„Glücklicherweise hilft uns die Kombination aus unserer Technologie und dem Verständnis der aktuellen und vergangenen Kampagnen, die infizierte Firmware nutzen, zukünftige Angriffe auf solche Ziele zu überwachen und zu melden“, sagte er.
Kaspersky sagte, dass die benutzerdefinierten Bootkit-Komponenten auf dem von Hacking Team entwickelten Bootkit VectorEDK basieren, das vor fünf Jahren durchgesickert ist. Kaspersky vermutet, dass die Akteure hinter der MosaicRegressor-Kampagne in der Lage waren, den durchgesickerten Code zu verwenden, um ihre eigene Software zu erstellen.
„Die Verwendung von durchgesickertem Quellcode von Drittanbietern und dessen Anpassung in eine neue, fortschrittliche Malware erinnert einmal mehr daran, wie wichtig die Datensicherheit ist. Sobald Software – sei es ein Bootkit, Malware oder etwas anderes – durchgesickert ist, verschaffen sich Bedrohungsakteure einen erheblichen Vorteil“, sagte Igor Kuznetsov, leitender Sicherheitsforscher bei GReAT.
„Frei verfügbare Tools bieten ihnen die Möglichkeit, ihre Toolsets mit weniger Aufwand und geringerer Wahrscheinlichkeit, entdeckt zu werden, weiterzuentwickeln und anzupassen“, sagte er.
Kaspersky sagte, dass es den genauen Infektionsvektor, der es der Gruppe ermöglichte, die originale UEFI-Firmware zu überschreiben, nicht erkannt habe, aber basierend auf dem, was bereits über VectorEDK bekannt war, schlug es vor, dass eine Infektion mit physischem Zugriff auf den Zielrechner möglich gewesen sein könnte, speziell mit einem bootfähigen USB-Schlüssel, der ein Update-Utility enthielt, das die Firmware patchen würde, um einen Trojaner-Downloader zu installieren.
Ein alternatives und wahrscheinlicheres Szenario ist, dass die MosaicRegressor-Komponenten durch Spearphishing mit einem in einem Archiv versteckten Malware-Dropper zusammen mit einer Täuschungsdatei ausgeliefert wurden.