Los investigadores de ciberseguridad del gigante del sector Kaspersky han advertido de una campaña de amenazas persistentes avanzadas (APT), apodada MosaicRegressor, que está utilizando una variedad de malware poco vista conocida como firmware bootkit para establecer su persistencia en los ordenadores objetivo.
El malware se ha utilizado en ataques dirigidos -descritos como un marco modular complejo y de múltiples etapas utilizado para el espionaje y la exfiltración de datos- dirigidos a diplomáticos y personal de organizaciones no gubernamentales (ONG) de África, Asia y Europa. Mientras que Kaspersky postuló un vínculo con Corea del Norte o Rusia, la campaña aún no puede ser vinculada con confianza a ningún actor conocido.
Identificado por los escáneres de Kaspersky, el malware se encontró al acecho en la Interfaz de Firmware Extensible Unificada (UEFI) de su ordenador objetivo, lo que lo hace particularmente peligroso.
Esto se debe a que la UEFI es una parte esencial de una máquina que comienza a ejecutarse antes que el propio sistema operativo (SO) en el arranque, lo que significa que si su firmware puede ser modificado para contener código malicioso, dicho código también se lanzará antes que el SO, haciéndolo potencialmente invisible a cualquier solución de seguridad instalada.
Además, el hecho de que el firmware UEFI resida en un chip flash separado del disco duro hace que los ataques contra él sean muy evasivos y persistentes, ya que independientemente de las veces que se reinstale el SO, el malware permanecerá en el dispositivo.
«Aunque los ataques UEFI presentan amplias oportunidades para los actores de la amenaza, MosaicRegressor es el primer caso conocido públicamente en el que un actor de la amenaza utilizó un firmware UEFI malicioso hecho a medida en la naturaleza», dijo el investigador de seguridad senior del Equipo de Investigación y Análisis Global de Kaspersky (GReAT), Mark Lechtik.
«Los ataques anteriores observados en la naturaleza simplemente reutilizaron software legítimo (por ejemplo, LoJax), lo que hace que este sea el primer ataque en la naturaleza que aprovecha un bootkit UEFI hecho a medida.
«Este ataque demuestra que, aunque rara vez, en casos excepcionales los actores están dispuestos a ir a las grandes distancias para obtener el mayor nivel de persistencia en la máquina de una víctima. Los actores de las amenazas continúan diversificando sus herramientas y se vuelven cada vez más creativos con las formas en que atacan a las víctimas, y lo mismo deberían hacer los proveedores de seguridad para adelantarse a los perpetradores.
«Afortunadamente, la combinación de nuestra tecnología y la comprensión de las campañas actuales y pasadas que aprovechan el firmware infectado nos ayuda a monitorear e informar sobre futuros ataques contra tales objetivos», dijo.
Kaspersky dijo que los componentes del bootkit personalizado se encontraron basados en el bootkit VectorEDK desarrollado por Hacking Team, que se filtró hace cinco años. Kaspersky dijo que sospechaba que los actores detrás de la campaña MosaicRegressor podían utilizar el código filtrado para construir su propio software con bastante facilidad.
«El uso del código fuente filtrado de terceros y su personalización en un nuevo malware avanzado plantea una vez más otro recordatorio de la importancia de la seguridad de los datos. Una vez que el software -ya sea un bootkit, un malware o cualquier otra cosa- se filtra, los actores de las amenazas obtienen una ventaja significativa», dijo Igor Kuznetsov, investigador principal de seguridad de GReAT.
«Las herramientas de libre acceso les ofrecen la oportunidad de avanzar y personalizar sus conjuntos de herramientas con menos esfuerzo y menos posibilidades de ser detectados», dijo.
Kaspersky dijo que no había detectado el vector de infección exacto que permitió al grupo sobrescribir el firmware UEFI original, pero basándose en lo que ya sabía sobre VectorEDK, sugirió que las infecciones podrían haber sido posibles con el acceso físico a la máquina objetivo, concretamente con una llave USB de arranque que contenía una utilidad de actualización que parchaba el firmware para hacer que instalara un descargador de troyanos.
Un escenario alternativo y más probable es que los componentes de MosaicRegressor se entregaran mediante un envío de spearphishing de un dropper de malware oculto en un archivo, junto con un archivo señuelo.