Cercetătorii Kaspersky au descoperit o campanie avansată de spionaj cu amenințare persistentă (APT) care utilizează un tip de malware foarte rar întâlnit, cunoscut sub numele de firmware bootkit. Noul malware a fost detectat de tehnologia de scanare UEFI/ BIOS a Kaspersky, care detectează atât amenințările cunoscute, cât și pe cele necunoscute. Tehnologia de scanare a identificat un malware necunoscut anterior în Unified Extensible Firmware Interface (UEFI), o parte esențială a oricărui dispozitiv modern, ceea ce face foarte dificilă detectarea și eliminarea sa de pe dispozitivele infectate. Kitul de boot UEFI utilizat împreună cu malware-ul este o versiune personalizată a kitului de boot al Hacking Team, apărut în 2015.
Firmware-ul UEFI este o parte esențială a unui computer, care începe să ruleze înaintea sistemului de operare și de toate programele instalate în acesta. Dacă firmware-ul UEFI este modificat cumva pentru a conține cod rău intenționat, codul respectiv va fi lansat înainte de sistemul de operare, ceea ce va face activitatea sa potential invizibilă pentru soluțiile de securitate. Acest lucru, precum și faptul că firmware-ul în sine se află pe un chip flash separat pe hard disk, face atacurile împotriva UEFI excepțional de evazive și persistente – infecția firmware-ului înseamnă, în esență, că, indiferent de câte ori se reinstalează sistemul de operare, malware-ul implantat de bootkit rămâne pe dispozitiv.
Cercetătorii Kaspersky au găsit un eșantion de astfel de programe malware utilizate într-o campanie care a implementat variante ale unui cadru modular complex, cu mai multe etape, denumit MosaicRegressor. Cadrul a fost folosit pentru spionaj și colectarea de date, malware-ul UEFI fiind una dintre metodele de persistență pentru acest malware nou, necunoscut anterior.
Componentele dezvăluite ale kitului de boot UEFI s-au bazat în mare măsură pe bootkit-ul “Vector-EDK” dezvoltat de Hacking Team și al cărui cod sursă a apărut online în 2015. Codul dezvăluit a permis, cel mai probabil, autorilor, să-și construiască propriul software cu un efort redus de dezvoltare și un risc redus de expunere.
Atacurile au fost descoperite cu ajutorul Firmware Scanner, care a fost inclus în produsele Kaspersky de la începutul anului 2019. Această tehnologie a fost dezvoltată specific pentru a detecta amenințările ascunse în BIOS-ul ROM, inclusiv imaginile firmware UEFI.
Deși nu a fost posibil să se detecteze exact vectorul de infecție care le-a permis atacatorilor să intervină peste firmware-ul UEFI original, cercetătorii Kaspersky au dedus un mod prin care acest lucru ar putea fi realizat, pe baza a ceea ce se știe despre VectorEDK din documentele echipei de hacking. Acestea sugerează, fără a exclude alte opțiuni, că infecțiile ar fi putut fi posibile prin accesul fizic la echipamentul victimei, în special cu o cheie USB bootabilă, care ar conține un utilitar special de actualizare. Firmware-ul cu patch-uri ar facilita apoi instalarea unui program de descărcare Troian – malware care permite descărcarea oricărei sarcini utile adecvate nevoilor atacatorului atunci când sistemul de operare este în funcțiune.
Cu toate acestea, în majoritatea cazurilor, componentele MosaicRegressor au fost livrate victimelor folosind măsuri mai puțin sofisticate, cum ar fi livrarea de tip spearphishing a unui dropper ascuns într-o arhivă împreună cu un fișier folosit drept momeală. Structura de module multiple a cadrului a permis atacatorilor să ascundă cadrul mai larg de la analize și să implementeze componente care să solicite echipamentele numai la cerere. Programul malware instalat initial pe dispozitivul infectat este un program de descărcare troian, fiind capabil să descarce sarcini poate descărca sau încărca fișiere arbitrare din/către adrese URL arbitrare și poate colecta informații de pe echipamentul vizat.
Pe baza profilului victimelor descoperite, cercetătorii au reușit să stabilească faptul că MosaicRegressor a fost folosit într-o serie de atacuri orientate către diplomați și membri ai ONG-urilor din Africa, Asia și Europa. Unele atacuri au inclus documente de tip spearphishing în limba rusă, în timp ce altele au fost legate de Coreea de Nord și utilizate ca momeală pentru a descărca malware.
Campania nu a fost legată de niciun actor cunoscut pentru amenințările persistente.
“Deși atacurile UEFI prezintă oportunități importante pentru atacatori, MosaicRegressor este primul caz cunoscut public în care atacatorul a folosit un firmware UEFI personalizat și rău intenționat descoperit. Atacurile cunoscute, observate anterior, au reutilizat pur și simplu un software legitim (de exemplu, LoJax), făcând ca acesta să fie primul atac care utilizează un bootkit UEFI personalizat. Acest atac demonstrează că, deși se întâmplă rar, în cazuri excepționale, actorii sunt dispuși să depună eforturi mari pentru a obține cel mai înalt nivel de persistență pe echipamentul unei victime. Atacatorii continuă să își diversifice seturile de instrumente și devin din ce în ce mai creativi cu modalitățile prin care își atacă victimele – la fel trebuie să facă și companiile de Securitate cibernetică, pentru a-și păstra avansul față de atacatori. Din fericire, combinația dintre tehnologia noastră și înțelegerea campaniilor actuale și anterioare care utilizează firmware-ul infectat ne ajută să monitorizăm și să raportăm despre atacurile viitoare împotriva unor astfel de ținte”, spune Mark Lechtik, senior security researcher at Global Research and Analysis Team (GReAT), Kaspersky.
“Utilizarea codului sursă terț dezvăluit și personalizarea acestuia într-un nou malware avansat ridică încă o data problema importanței securității datelor. Odată ce software-ul, fie că este un bootkit, malware sau altceva – este dezvăluit, atacatorii câștigă un avantaj semnificativ. Instrumentele disponibile gratuit le oferă posibilitatea de a avansa și de a-și personaliza armele de atac cu mai puțin efort și șanse mai mici de a fi detectate“, spune Igor Kuznetsov, principal security researcher at Kasperky GReAT.
O analiză mai detaliată a cadrului MosaicRegressor și a componentelor sale este prezentată pe Securelist.
Pentru a rămâne protejat de amenințări precum MosaicRegressor, Kaspersky recomandă:
• Oferiți echipei dvs. SOC acces la cele mai recente informații privind amenințările (TI). Kaspersky Threat Intelligence Portal este unicul punct de acces pentru TI-ul companiei, oferind date despre atacuri cibernetice și informații colectate de Kaspersky de mai bine de 20 de ani.
• Pentru detectarea la nivel de endpoint, investigație și remedierea la timp a incidentelor, implementați soluții EDR, cum ar fi Kaspersky Endpoint Detection and Response.
• Oferiți personalului o instruire de bază în domeniul securității cibernetice, întrucât multe atacuri vizate încep cu phishing sau alte tehnici de inginerie socială.
• Utilizații o soluție fiabilă de Securitate endpoint, care poate detecta utilizarea firmware-ului, cum ar fi Kaspersky Endpoint Security for Business.
• Actualizați periodic firmware-ul UEFI, numai de la furnizori de încredere.