Kaspersky ha scoperto un nuovo bootkit del firmware in circolazione. Si basa sul toolkit dell'Hacking Team. È già stato utilizzato in attacchi contro diplomatici e membri di ONG in Europa, Africa e Asia.
I ricercatori di Kaspersky hanno scoperto una campagna di spionaggio Advanced Persistent Threat (APT) utilizzando un bootkit del firmware. Il malware è stato rilevato dalla tecnologia di scansione UEFI/BIOS di Kaspersky, che può anche rilevare minacce sconosciute. La tecnologia di scansione ha identificato un malware precedentemente sconosciuto nell'Unified Extensible Firmware Interface (UEFI), una parte essenziale di ogni dispositivo informatico moderno oggi, rendendo molto difficile rilevare i dispositivi infetti e rimuovere il malware da essi. Il bootkit UEFI del malware è una versione personalizzata del bootkit di Hacking Team trapelato nel 2015.
Il firmware UEFI potrebbe contenere codice dannoso
Il firmware UEFI è una parte essenziale di un computer che viene eseguito prima del sistema operativo e di tutti i programmi installati in esso. Se il firmware UEFI contiene codice dannoso, questo codice verrà avviato prima del sistema operativo e potrebbe non essere rilevato dalle soluzioni di sicurezza. Per questo motivo, e poiché il firmware risiede su un chip flash separato dal disco rigido, gli attacchi contro UEFI sono estremamente persistenti e difficili da rimuovere. Infettare il firmware significa essenzialmente che, indipendentemente da quante volte il sistema operativo è stato reinstallato, il malware contenuto nel bootkit rimane sul dispositivo.
I ricercatori di Kaspersky hanno trovato tale malware UEFI come parte di una campagna che ha implementato varianti di un framework modulare complesso e multilivello chiamato MosaicRegressor. Il framework è stato utilizzato per lo spionaggio e la raccolta di dati, con il malware UEFI che fa parte dei metodi per ancorarsi al sistema.
Il bootkit Vector EDK è servito da modello
I componenti del bootkit UEFI sono fortemente basati sul bootkit "Vector-EDK" sviluppato da Hacking Team, il cui codice sorgente è trapelato nel 2015. Questo molto probabilmente ha permesso agli aggressori di creare il proprio software con poco sforzo di sviluppo e rischio di rilevamento.
Gli attacchi sono stati scoperti utilizzando lo scanner del firmware incluso nei prodotti Kaspersky dall'inizio del 2019. La tecnologia è specificamente progettata per rilevare le minacce nascoste nel ROM-BIOS, incluse le immagini del firmware UEFI.
Vettore di infezione sconosciuto
Sebbene non sia stato possibile determinare l'esatto vettore di infezione che ha consentito agli aggressori di sovrascrivere il firmware UEFI originale, i ricercatori di Kaspersky sono stati in grado di dedurre come ciò sia stato fatto sulla base delle informazioni su VectorEDK dai documenti trapelati di Hacking Team. Una possibilità è che l'infezione sia stata possibile attraverso l'accesso fisico al computer della vittima. Ciò potrebbe essere accaduto utilizzando una chiavetta USB avviabile che conteneva una speciale utility di aggiornamento. Il firmware con patch avrebbe quindi consentito l'installazione di un downloader di Troia; il malware che abilita un playload adatto all'aggressore deve essere scaricato mentre il sistema operativo è in esecuzione.
Nella maggior parte dei casi, tuttavia, i componenti MosaicRegressor sono stati consegnati alle vittime utilizzando mezzi molto meno sofisticati, come lo spear phishing, che consisteva nel nascondere un contagocce in un archivio contenente un file esca. La struttura multimodulo del framework ha consentito agli aggressori di nascondere il framework più ampio dall'analisi e di distribuire i componenti ai computer mirati solo quando necessario. Il malware originariamente installato sul dispositivo infetto è un Trojan downloader. Questo è un programma che può essere utilizzato per caricare payload aggiuntivi e altri malware. A seconda del payload, il malware può scaricare o caricare qualsiasi file da e verso qualsiasi URL e raccogliere informazioni dal computer di destinazione.
Gli aggressori prendono di mira diplomatici e ONG
MosaicRegressor è stato utilizzato in una serie di attacchi mirati contro diplomatici e membri di ONG in Africa, Asia ed Europa. Alcuni degli attacchi riguardavano documenti di spear phishing in russo, mentre altri erano collegati alla Corea del Nord e usati come esca per scaricare malware.
La campagna non può essere assegnata con certezza a un noto attore APT.
"Sebbene gli attacchi UEFI presentino grandi opportunità per gli attori delle minacce, MosaicRegressor è il primo caso pubblicamente noto di un attore delle minacce che utilizza firmware UEFI dannoso personalizzato in natura", ha affermato Mark Lechtik, ricercatore senior di sicurezza presso il Global Research and Analysis Team (GReAT) di Kaspersky. “Gli attacchi precedentemente noti hanno riproposto e riutilizzato software legittimo come LoJax. Questo è ora il primo attacco in circolazione che utilizza un kit di avvio UEFI personalizzato. Questo attacco dimostra che, sebbene raro, in casi eccezionali, gli attori sono disposti a fare di tutto per rimanere sul dispositivo di una vittima il più a lungo possibile. Gli attori delle minacce diversificano continuamente i loro set di strumenti e diventano più creativi nel modo in cui prendono di mira le vittime e i fornitori di sicurezza dovrebbero fare lo stesso per stare al passo con i criminali informatici. La combinazione della nostra tecnologia e la nostra comprensione delle campagne attuali e passate che coinvolgono firmware infetto ci consente di monitorare e segnalare futuri attacchi contro tali obiettivi".
Gli attori delle minacce hanno un chiaro vantaggio
"L'utilizzo di codice sorgente di terze parti trapelato e l'adattamento a un nuovo malware avanzato dimostra ancora una volta l'importanza della sicurezza dei dati", aggiunge Igor Kuznetsov, ricercatore di sicurezza presso GReAT di Kaspersky. “Una volta che il software, che si tratti di un bootkit, malware o qualcos'altro, perde, gli attori delle minacce hanno un chiaro vantaggio. Perché gli strumenti disponibili gratuitamente danno loro l'opportunità di evolvere e personalizzare i propri set di strumenti con meno sforzo e meno probabilità di essere riconosciuti".
Maggiori informazioni su Kaspersky.de
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/