Ricercatori di sicurezza informatica del gigante del settore Kaspersky hanno avvertito di una campagna di minacce avanzate persistenti (APT), soprannominata MosaicRegressor, che sta utilizzando una varietà raramente vista di malware noto come un bootkit del firmware per stabilire la persistenza sui computer di destinazione.
Il malware è stato utilizzato in attacchi mirati – descritto come una struttura modulare complessa e multistadio utilizzata per lo spionaggio e l’esfiltrazione dei dati – rivolto a diplomatici e personale di organizzazioni non governative (ONG) di Africa, Asia ed Europa. Mentre Kaspersky ha ipotizzato un legame con la Corea del Nord o la Russia, la campagna non può ancora essere collegata con sicurezza a nessun attore noto.
Identificato dagli scanner di Kaspersky, il malware è stato trovato in agguato nella Unified Extensible Firmware Interface (UEFI) del suo computer di destinazione, il che lo rende particolarmente pericoloso.
Questo perché l’UEFI è una parte essenziale di una macchina che inizia a funzionare prima dell’attuale sistema operativo (OS) all’avvio, il che significa che se il suo firmware può essere modificato per contenere codice dannoso, tale codice verrà lanciato anche prima dell’OS, rendendolo potenzialmente invisibile a qualsiasi soluzione di sicurezza installata.
Inoltre, il fatto che il firmware UEFI risieda su un chip flash separato dal disco rigido rende gli attacchi contro di esso altamente evasivi e persistenti, perché indipendentemente da quante volte il sistema operativo viene reinstallato, il malware rimarrà sul dispositivo.
“Anche se gli attacchi UEFI presentano ampie opportunità per gli attori della minaccia, MosaicRegressor è il primo caso pubblicamente noto in cui un attore della minaccia ha utilizzato un firmware UEFI personalizzato e dannoso in natura”, ha detto il ricercatore senior di sicurezza di Kaspersky Global Research and Analysis Team (GReAT), Mark Lechtik.
“Gli attacchi precedentemente noti osservati in natura hanno semplicemente riproposto il software legittimo (per esempio, LoJax), rendendo questo il primo attacco in natura che sfrutta un bootkit UEFI personalizzato.
“Questo attacco dimostra che, anche se raramente, in casi eccezionali gli attori sono disposti a fare di tutto per ottenere il massimo livello di persistenza sulla macchina di una vittima. Gli attori delle minacce continuano a diversificare i loro set di strumenti e diventano sempre più creativi con i modi in cui prendono di mira le vittime – e così dovrebbero fare i fornitori di sicurezza, per rimanere davanti ai perpetratori.
“Per fortuna, la combinazione della nostra tecnologia e la comprensione delle campagne attuali e passate che sfruttano firmware infetti ci aiuta a monitorare e segnalare gli attacchi futuri contro tali obiettivi”, ha detto.
Kaspersky ha detto che i componenti del bootkit personalizzato sono stati trovati per essere basati sul bootkit VectorEDK sviluppato da Hacking Team, che è trapelato cinque anni fa. Kaspersky ha detto che sospetta che gli attori dietro la campagna MosaicRegressor siano stati in grado di utilizzare il codice trapelato per costruire il proprio software abbastanza facilmente.
“L’uso del codice sorgente di terze parti trapelato e la sua personalizzazione in un nuovo malware avanzato ancora una volta solleva un altro richiamo sull’importanza della sicurezza dei dati. Una volta che il software – sia esso un bootkit, un malware o altro – è trapelato, gli attori delle minacce ottengono un vantaggio significativo”, ha detto Igor Kuznetsov, principale ricercatore di sicurezza di GReAT.
“Gli strumenti liberamente disponibili forniscono loro l’opportunità di avanzare e personalizzare i loro set di strumenti con meno sforzo e minori possibilità di essere rilevati”, ha detto.
Kaspersky ha detto di non aver rilevato l’esatto vettore di infezione che ha permesso al gruppo di sovrascrivere il firmware UEFI originale, ma sulla base di ciò che già sapeva su VectorEDK, ha suggerito che le infezioni potrebbero essere state possibili con l’accesso fisico alla macchina bersaglio, in particolare con una chiave USB avviabile contenente un’utilità di aggiornamento che avrebbe patchato il firmware per fargli installare un trojan downloader.
Uno scenario alternativo e più probabile è che i componenti di MosaicRegressor siano stati consegnati utilizzando la consegna di spearphishing di un malware dropper nascosto in un archivio, insieme a un file esca.