Kaspersky ha descubierto un nuevo bootkit de firmware en la naturaleza. Se basa en el conjunto de herramientas de Hacking Team. Ya se ha utilizado en ataques contra diplomáticos y miembros de ONG en Europa, África y Asia.
Los investigadores de Kaspersky han descubierto una campaña de espionaje de amenazas persistentes avanzadas (APT) utilizando un kit de arranque de firmware. El malware fue detectado por la tecnología de escaneo UEFI/BIOS de Kaspersky, que también puede detectar amenazas desconocidas. La tecnología de escaneo identificó un malware previamente desconocido en la Interfaz de firmware extensible unificada (UEFI), una parte esencial de todos los dispositivos informáticos modernos en la actualidad, lo que hace que sea muy difícil detectar dispositivos infectados y eliminar el malware de ellos. El bootkit UEFI del malware es una versión personalizada del bootkit de Hacking Team filtrado en 2015.
El firmware UEFI puede contener código malicioso
El firmware UEFI es una parte esencial de una computadora que se ejecuta frente al sistema operativo y todos los programas instalados en él. Si el firmware UEFI contiene código malicioso, este código se iniciará antes que el sistema operativo y es posible que las soluciones de seguridad no lo detecten. Debido a esto, y debido a que el firmware reside en un chip flash separado del disco duro, los ataques contra UEFI son extremadamente persistentes y difíciles de eliminar. Infectar el firmware esencialmente significa que no importa cuántas veces se haya reinstalado el sistema operativo, el malware contenido en el bootkit permanece en el dispositivo.
Los investigadores de Kaspersky encontraron dicho malware UEFI como parte de una campaña que implementó variantes de un marco modular complejo de varios niveles llamado MosaicRegressor. El marco se ha utilizado para el espionaje y la recopilación de datos, y el malware UEFI forma parte de los métodos para anclarse en el sistema.
El kit de arranque Vector EDK sirvió como plantilla
Los componentes del kit de arranque UEFI se basan en gran medida en el kit de arranque 'Vector-EDK' desarrollado por Hacking Team, cuyo código fuente se filtró en 2015. Esto probablemente permitió a los atacantes crear su propio software con poco esfuerzo de desarrollo y riesgo de detección.
Los ataques se descubrieron utilizando el escáner de firmware que se ha incluido en los productos de Kaspersky desde principios de 2019. La tecnología está diseñada específicamente para detectar amenazas ocultas en ROM-BIOS, incluidas las imágenes de firmware UEFI.
Vector de infección desconocido
Si bien no fue posible determinar el vector de infección exacto que permitió a los atacantes sobrescribir el firmware UEFI original, los investigadores de Kaspersky pudieron deducir cómo se hizo esto en función de la información sobre VectorEDK de los documentos filtrados de Hacking Team. Una posibilidad es que la infección haya sido posible a través del acceso físico a la computadora de la víctima. Esto podría haber sucedido usando una memoria USB de arranque que contuviera una utilidad de actualización especial. El firmware parcheado habría permitido la instalación de un programa de descarga de troyanos; El malware que habilita una carga de reproducción adecuada para el atacante debe descargarse mientras se ejecuta el sistema operativo.
Sin embargo, en la mayoría de los casos, los componentes de MosaicRegressor se entregaron a las víctimas utilizando medios mucho menos sofisticados, como el phishing selectivo, que consistía en ocultar un cuentagotas en un archivo que contenía un archivo señuelo. La estructura de varios módulos del marco permitió a los atacantes ocultar el marco más amplio del análisis e implementar componentes en las computadoras seleccionadas solo cuando era necesario. El malware instalado originalmente en el dispositivo infectado es un descargador de troyanos. Este es un programa que se puede utilizar para cargar payloads adicionales y otro malware. Según la carga útil, el malware puede descargar o cargar cualquier archivo hacia y desde cualquier URL y recopilar información de la computadora de destino.
Los atacantes apuntan a diplomáticos y ONG
MosaicRegressor se ha utilizado en una serie de ataques dirigidos contra diplomáticos y miembros de ONG en África, Asia y Europa. Algunos de los ataques involucraron documentos de phishing de lanza en ruso, mientras que otros estaban vinculados a Corea del Norte y se usaron como cebo para descargar malware.
La campaña no se pudo asignar con certeza a un actor APT conocido.
"Si bien los ataques UEFI presentan grandes oportunidades para los actores de amenazas, MosaicRegressor es el primer caso conocido públicamente de un actor de amenazas que usa firmware UEFI malicioso personalizado en la naturaleza", dijo Mark Lechtik, investigador principal de seguridad en el Equipo de análisis e investigación global (GReAT) de Kaspersky. “Los ataques conocidos anteriormente han reutilizado y reutilizado software legítimo como LoJax. Este es ahora el primer ataque en la naturaleza utilizando un kit de arranque UEFI personalizado. Este ataque muestra que, aunque es raro, en casos excepcionales, los actores están dispuestos a hacer todo lo posible para permanecer en el dispositivo de la víctima el mayor tiempo posible. Los actores de amenazas diversifican continuamente sus conjuntos de herramientas y se vuelven más creativos en la forma en que atacan a las víctimas, y los proveedores de seguridad deben hacer lo mismo para mantenerse por delante de los ciberdelincuentes. La combinación de nuestra tecnología y nuestra comprensión de las campañas actuales y pasadas que involucran firmware infectado nos permite monitorear e informar sobre futuros ataques contra dichos objetivos”.
Los actores de amenazas tienen una clara ventaja
"Usar código fuente de terceros filtrado y adaptarlo a un nuevo malware avanzado muestra una vez más la importancia de la seguridad de los datos", agrega Igor Kuznetsov, investigador de seguridad en GReAT de Kaspersky. “Una vez que el software, ya sea un bootkit, un malware o cualquier otra cosa, se filtra, los actores de amenazas tienen una clara ventaja. Porque las herramientas disponibles gratuitamente les dan la oportunidad de evolucionar y personalizar sus conjuntos de herramientas con menos esfuerzo y menos probabilidades de ser reconocidos”.
Más sobre esto en Kaspersky.de
Acerca de Kaspersky Kaspersky es una empresa internacional de ciberseguridad fundada en 1997. La profunda inteligencia de amenazas y la experiencia en seguridad de Kaspersky sirven como base para soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la empresa incluye una protección líder para puntos finales y una variedad de soluciones y servicios de seguridad especializados para defenderse contra amenazas cibernéticas complejas y en constante evolución. Más de 400 millones de usuarios y 250.000 XNUMX clientes corporativos están protegidos por las tecnologías de Kaspersky. Más información sobre Kaspersky en www.kaspersky.com/