Kaspersky hat ein neues Firmware-Bootkit in freier Wildbahn entdeckt. Es basiert auf dem von Toolkit des Hacking Team. Es wurde bereits für Angriffe auf Diplomaten und Mitglieder von NGOs in Europa, Afrika und Asien verwendet.
Die Forscher von Kaspersky haben eine Advanced Persistent Threat (APT)-Spionagekampagne aufgedeckt, bei der ein Firmware-Bootkit verwendet wird. Die Malware wurde von der UEFI/BIOS-Scan-Technologie von Kaspersky erkannt, die auch unbekannte Bedrohungen erkennen kann. Die Scan-Technologie identifizierte eine bisher unbekannte Malware im Unified Extensible Firmware Interface (UEFI), einem wesentlichen Bestandteil jedes modernen Computergeräts heute, was es sehr schwierig macht, infizierte Geräte zu erkennen und die Malware von diesen zu entfernen. Das UEFI-Bootkit der Malware ist eine individualisierte Version des 2015 geleakten Bootkits von Hacking Team.
UEFI-Firmware kann schädlichen Code enthalten
Die UEFI-Firmware ist ein wesentlicher Bestandteil eines Computers, der vor dem Betriebssystem und allen darin installierten Programmen ausgeführt wird. Enthält die UEFI-Firmware schädlichen Code, wird dieser Code noch vor dem Betriebssystem gestartet, so dass dieser möglicherweise nicht von Sicherheitslösungen erkannt wird. Dadurch und weil sich die Firmware auf einem von der Festplatte getrennten Flash-Chip befindet, sind Angriffe gegen UEFI äußerst hartnäckig und schwer zu entfernen. Eine Infektion der Firmware bedeutet im Wesentlichen, dass unabhängig davon, wie oft das Betriebssystem neu installiert wurde, die im Bootkit enthaltene Malware auf dem Gerät verbleibt.
Kaspersky-Forscher fanden eine solche UEFI-Malware nun im Rahmen einer Kampagne, in der Varianten eines komplexen, mehrstufigen modularen Frameworks mit dem Namen MosaicRegressor bereitgestellt wurden. Das Framework wurde zur Spionage und Datenerfassung verwendet, wobei die UEFI-Malware einen Teil der Methoden darstellt, um sich auf dem System zu verankern.
Vector-EDK-Bootkit diente als Vorlage
Die UEFI-Bootkit-Komponenten basieren stark auf dem von Hacking Team entwickelten ‚Vector-EDK’-Bootkit, dessen Quellcode im Jahr 2015 geleakt wurde. Das ermöglichte es den Angreifern höchstwahrscheinlich, ihre eigene Software mit geringem Entwicklungsaufwand und Entdeckungsrisiko zu erstellen.
Die Angriffe wurden mithilfe des Firmware Scanners entdeckt, der seit Anfang 2019 in Kaspersky-Produkten enthalten ist. Die Technologie wurde speziell dafür entwickelt, Bedrohungen, die sich im ROM-BIOS verstecken, zu erkennen – einschließlich UEFI-Firmware-Images.
Infektionsvektor unbekannt
Während es nicht möglich war, den genauen Infektionsvektor zu ermitteln, der es den Angreifern ermöglichte, die ursprüngliche UEFI-Firmware zu überschreiben, konnten Kaspersky-Forscher Schlüsse daraus ziehen, wie dies auf der Grundlage von Informationen über VectorEDK aus durchgesickerten Hacking Team-Dokumenten erfolgen könnte. Eine Möglichkeit wäre, dass eine Infektion durch den physischen Zugriff auf den Computer des Opfers möglich war. Dies könnte mittels eines bootfähigen USB-Stick passiert sein, der ein spezielles Update-Dienstprogramm enthielt. Die gepatchte Firmware hätte dann die Installation eines Trojaner-Downloaders ermöglicht; eine Malware, die eine für den Angreifer geeigneten Playload ermöglicht, muss heruntergeladen werden, während das Betriebssystem läuft.
In den meisten Fällen wurden die MosaicRegressor-Komponenten jedoch mit weitaus weniger ausgefeilten Maßnahmen an die Opfer geliefert – beispielsweise über Spear-Phishing, bei dem ein Dropper in einem Archiv mit einem Decoy-File versteckt wurde. Die Struktur des Frameworks mit mehreren Modulen ermöglichte es den Angreifern, das umfassendere Framework vor der Analyse zu verbergen und Komponenten nur bei Bedarf auf Zielcomputern bereitzustellen. Die ursprünglich auf dem infizierten Gerät installierte Malware ist ein Trojan-Downloader. Dabei handelt es sich um ein Programm, mit dem zusätzlicher Payload und weitere Malware nachgeladen werden können. Abhängig vom Payload kann die Malware beliebige Dateien von und zu beliebigen URLs herunterladen oder hochladen sowie Informationen vom Zielcomputer sammeln.
Diplomaten und NGOs im Visier der Angreifer
MosaicRegressor wurde bei einer Reihe zielgerichteter Angriffe gegen Diplomaten und Mitglieder von NGOs in Afrika, Asien und Europa eingesetzt. Einige der Angriffe umfassten Spear-Phishing-Dokumente in russischer Sprache, andere wurden dagegen mit Nordkorea in Verbindung gebracht und als Köder zum Herunterladen von Malware verwendet.
Die Kampagne konnte bisher nicht mit Sicherheit einem bekannten APT-Akteur zugeordnet werden.
„Obwohl UEFI-Angriffe den Bedrohungsakteuren große Chancen bieten, ist MosaicRegressor der erste öffentlich bekannte Fall, in dem ein Bedrohungsakteur eine maßgeschneiderte, schädliche UEFI-Firmware in freier Wildbahn verwendet“, erklärt Mark Lechtik, leitender Sicherheitsforscher beim Global Research and Analysis Team (GReAT) von Kaspersky. „Bisher bekannte Angriffe haben legitime Software wie beispielsweise LoJax umfunktioniert und wiederverwendet. Damit ist dies nun der erste Angriff in freier Wildbahn, bei dem ein speziell angefertigtes UEFI-Bootkit zum Einsatz kommt. Dieser Angriff zeigt, dass Akteure, wenn auch selten, in Ausnahmefällen bereit sind, große Anstrengungen zu unternehmen, um so lange wie möglich auf dem Gerät eines Opfers zu bleiben. Bedrohungsakteure diversifizieren ihre Toolsets kontinuierlich und werden immer kreativer in der Art und Weise, wie sie Opfer ansprechen – und Sicherheitsanbieter sollten dasselbe tun, um Cyberkriminellen immer einen Schritt voraus zu sein. Dank der Kombination unserer Technologie und unserem Verständnis der aktuellen und vergangenen Kampagnen mit infizierter Firmware können wir künftige Angriffe auf solche Ziele überwachen und darüber berichten.“
Bedrohungsakteure klar im Vorteil
„Die Verwendung von geleaktem Quellcode von Drittanbietern und dessen Anpassung an eine neue fortschrittliche Malware zeigt erneut die Bedeutung von Datensicherheit“, ergänzt Igor Kuznetsov, Sicherheitsforscher bei GReAT von Kaspersky. „Sobald Software – sei es ein Bootkit, Malware oder etwas anderes – leakt, sind Bedrohungsakteure klar im Vorteil. Denn frei verfügbare Tools bieten ihnen die Möglichkeit, ihre Toolsets mit weniger Aufwand und geringerer Wahrscheinlichkeit erkannt zu werden weiterzuentwickeln und anzupassen.“
Mehr dazu bei Kaspersky.de
Über Kaspersky Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/