Cyberbeveiligingsonderzoekers van sectorgigant Kaspersky hebben gewaarschuwd voor een APT-campagne (advanced persistent threat), MosaicRegressor genaamd, die gebruikmaakt van een zelden geziene malwarevariant die bekend staat als een firmware bootkit om zich op doelcomputers te vestigen.
De malware is gebruikt in gerichte aanvallen – beschreven als een complex en modulair raamwerk met meerdere fasen dat wordt gebruikt voor spionage en het exfiltreren van gegevens – gericht op diplomaten en medewerkers van niet-gouvernementele organisaties (NGO’s) in Afrika, Azië en Europa. Hoewel Kaspersky een verband legt met Noord-Korea of Rusland, kan de campagne nog niet met zekerheid worden gekoppeld aan bekende actoren.
Geïdentificeerd door Kaspersky’s scanners, bleek de malware zich schuil te houden in de Unified Extensible Firmware Interface (UEFI) van de doelcomputer, wat het bijzonder gevaarlijk maakt.
Dit komt omdat de UEFI een essentieel onderdeel van een machine is dat begint te draaien vóór het eigenlijke besturingssysteem (OS) bij het opstarten, wat betekent dat als de firmware ervan kan worden gewijzigd om kwaadaardige code te bevatten, die code ook zal starten vóór het OS, waardoor het potentieel onzichtbaar is voor alle geïnstalleerde beveiligingsoplossingen.
Het feit dat de UEFI-firmware zich op een flash-chip bevindt die losstaat van de harde schijf, maakt aanvallen hiertegen zeer ontwijkend en hardnekkig, want hoe vaak het besturingssysteem ook opnieuw wordt geïnstalleerd, de malware blijft op het apparaat staan.
“Hoewel UEFI-aanvallen grote mogelijkheden bieden aan de dreigingsactoren, is MosaicRegressor het eerste publiekelijk bekende geval waarbij een dreigingsactor een op maat gemaakte, kwaadaardige UEFI-firmware in het wild heeft gebruikt,” aldus Mark Lechtik, senior beveiligingsonderzoeker bij het Kaspersky Global Research and Analysis Team (GReAT).
“Eerder bekende aanvallen die in het wild zijn waargenomen, hergebruikten legitieme software (bijvoorbeeld LoJax), waardoor dit de eerste aanval in het wild is waarbij gebruik wordt gemaakt van een op maat gemaakte UEFI-bootkit.
“Deze aanval laat zien dat actoren, zij het zelden, in uitzonderlijke gevallen bereid zijn om tot het uiterste te gaan om het hoogste niveau van persistentie op de machine van een slachtoffer te verkrijgen. Bedreigers blijven hun toolsets diversifiëren en worden steeds creatiever in de manieren waarop ze zich op slachtoffers richten – en dat zouden beveiligingsleveranciers ook moeten doen, om de daders voor te blijven.
“Gelukkig helpt de combinatie van onze technologie en ons inzicht in de huidige en eerdere campagnes die gebruikmaken van geïnfecteerde firmware ons bij het monitoren van en rapporteren over toekomstige aanvallen tegen dergelijke doelwitten,” zei hij.
Kaspersky zei dat de aangepaste bootkit-componenten gebaseerd bleken te zijn op de VectorEDK-bootkit ontwikkeld door Hacking Team, die vijf jaar geleden uitlekte. Kaspersky zei dat het vermoedde dat de actoren achter de MosaicRegressor-campagne in staat waren om de gelekte code te gebruiken om vrij eenvoudig hun eigen software te bouwen.
“Het gebruik van gelekte broncode van derden en de aanpassing daarvan in een nieuwe geavanceerde malware herinnert ons opnieuw aan het belang van gegevensbeveiliging. Zodra software – of het nu een bootkit, malware of iets anders is – is uitgelekt, krijgen bedreigers een aanzienlijk voordeel”, zegt Igor Kuznetsov, hoofdbeveiligingsonderzoeker van GReAT.
“Vrij verkrijgbare tools bieden hen de kans om hun toolsets te verbeteren en aan te passen met minder moeite en minder kans om te worden ontdekt”, zegt hij.
Kaspersky zei dat het niet de exacte infectievector had gedetecteerd waarmee de groep de originele UEFI-firmware kon overschrijven, maar op basis van wat het al wist over VectorEDK, suggereerde het dat infecties mogelijk waren met fysieke toegang tot de doelmachine, in het bijzonder met een opstartbare USB-stick die een update-hulpprogramma bevatte dat de firmware zou patchen om het een trojan downloader te laten installeren.
Een alternatief en waarschijnlijker scenario is dat de MosaicRegressor-componenten zijn geleverd via spearphishing, waarbij een malware-dropper in een archief is verstopt, samen met een decoy-bestand.