Badacze bezpieczeństwa cybernetycznego z firmy Kaspersky ostrzegli przed kampanią APT (Advanced Persistent Threat), nazwaną MosaicRegressor, która wykorzystuje rzadko spotykaną odmianę szkodliwego oprogramowania znaną jako firmware bootkit w celu przetrwania na komputerach docelowych.
Złośliwe oprogramowanie zostało wykorzystane w atakach ukierunkowanych – opisanych jako złożone i wieloetapowe modułowe ramy wykorzystywane do szpiegostwa i eksfiltracji danych – wymierzonych w dyplomatów i pracowników organizacji pozarządowych z Afryki, Azji i Europy. Chociaż Kaspersky wskazywał na związek z Koreą Północną lub Rosją, kampanii nie można jeszcze z całą pewnością powiązać z żadnymi znanymi podmiotami.
Zidentyfikowane przez skanery Kaspersky’ego szkodliwe oprogramowanie zostało wykryte w interfejsie UEFI (Unified Extensible Firmware Interface) komputera docelowego, co czyni je szczególnie niebezpiecznym.
Wynika to z faktu, że UEFI jest istotną częścią maszyny, która uruchamia się przed właściwym systemem operacyjnym (OS) podczas startu systemu, co oznacza, że jeśli jego oprogramowanie sprzętowe zostanie zmodyfikowane tak, aby zawierało szkodliwy kod, kod ten zostanie również uruchomiony przed systemem operacyjnym, czyniąc go potencjalnie niewidocznym dla wszelkich zainstalowanych rozwiązań bezpieczeństwa.
Dodatkowo, fakt, że firmware UEFI rezyduje na chipie flash oddzielonym od dysku twardego, sprawia, że ataki na niego są wysoce unikowe i uporczywe, ponieważ niezależnie od tego, ile razy system operacyjny zostanie przeinstalowany, złośliwe oprogramowanie pozostanie na urządzeniu.
„Chociaż ataki na UEFI dają szerokie możliwości aktorom zagrożeń, MosaicRegressor jest pierwszym publicznie znanym przypadkiem, w którym aktor zagrożeń wykorzystał niestandardowy, szkodliwy firmware UEFI w środowisku naturalnym” – powiedział starszy badacz bezpieczeństwa Kaspersky Global Research and Analysis Team (GReAT), Mark Lechtik.
„Wcześniejsze znane ataki zaobserwowane w środowisku naturalnym po prostu wykorzystywały legalne oprogramowanie (na przykład LoJax), co czyni ten atak pierwszym w środowisku naturalnym wykorzystującym niestandardowy bootkit UEFI.
„Atak ten pokazuje, że choć rzadko, w wyjątkowych przypadkach aktorzy są skłonni do podjęcia ogromnych wysiłków w celu uzyskania najwyższego poziomu trwałości na komputerze ofiary. Podmioty odpowiedzialne za zagrożenia wciąż różnicują swoje zestawy narzędzi i stają się coraz bardziej kreatywne, jeśli chodzi o sposoby atakowania ofiar – i tak samo powinni postępować dostawcy zabezpieczeń, aby wyprzedzić sprawców.
„Na szczęście, połączenie naszej technologii oraz zrozumienia obecnych i przeszłych kampanii wykorzystujących zainfekowane oprogramowanie sprzętowe pomaga nam monitorować i raportować przyszłe ataki na takie cele” – powiedział.
Kaspersky powiedział, że niestandardowe komponenty bootkita zostały wykryte jako oparte na bootkicie VectorEDK opracowanym przez Hacking Team, który wyciekł pięć lat temu. Kaspersky powiedział, że podejrzewa, iż aktorzy stojący za kampanią MosaicRegressor byli w stanie dość łatwo wykorzystać wyciekły kod do stworzenia własnego oprogramowania.
„Wykorzystanie wyciekłego kodu źródłowego stron trzecich i jego dostosowanie do nowego zaawansowanego szkodliwego oprogramowania po raz kolejny przypomina o znaczeniu bezpieczeństwa danych. Kiedy oprogramowanie – czy to bootkit, złośliwe oprogramowanie, czy coś innego – wycieknie, aktorzy zagrożeń zyskują znaczącą przewagę” – powiedział Igor Kuznetsov, główny badacz bezpieczeństwa GReAT.
„Wolno dostępne narzędzia dają im możliwość rozwoju i dostosowywania swoich zestawów narzędzi przy mniejszym wysiłku i mniejszych szansach na wykrycie” – dodał.
Kaspersky powiedział, że nie wykrył dokładnego wektora infekcji, który pozwolił grupie na nadpisanie oryginalnego firmware UEFI, ale bazując na tym, co już wie o VectorEDK, zasugerował, że infekcje mogły być możliwe przy fizycznym dostępie do maszyny docelowej, a konkretnie przy użyciu bootowalnego klucza USB zawierającego narzędzie aktualizacyjne, które załatałoby firmware, aby zainstalować trojana downloadera.
Alternatywnym i bardziej prawdopodobnym scenariuszem jest to, że komponenty MosaicRegressor zostały dostarczone za pomocą spearphishingu, w którym złośliwy dropper został ukryty w archiwum wraz z plikiem wabiącym.