A Kaspersky descobriu um novo bootkit de firmware na natureza. É baseado no kit de ferramentas do Hacking Team. Já foi usado em ataques a diplomatas e membros de ONGs na Europa, África e Ásia.
Pesquisadores da Kaspersky descobriram uma campanha de espionagem Ameaça Persistente Avançada (APT) usando um bootkit de firmware. O malware foi detectado pela tecnologia de varredura UEFI/BIOS da Kaspersky, que também pode detectar ameaças desconhecidas. A tecnologia de verificação identificou um malware anteriormente desconhecido na Unified Extensible Firmware Interface (UEFI), uma parte essencial de todos os dispositivos de computação modernos, tornando muito difícil detectar dispositivos infectados e remover o malware deles. O bootkit UEFI do malware é uma versão personalizada do bootkit do Hacking Team que vazou em 2015.
Firmware UEFI pode conter código malicioso
O firmware UEFI é uma parte essencial de um computador executado na frente do sistema operacional e de todos os programas instalados nele. Se o firmware UEFI contiver código malicioso, esse código será iniciado antes do sistema operacional e pode não ser detectado por soluções de segurança. Por causa disso, e porque o firmware reside em um chip flash separado do disco rígido, os ataques contra UEFI são extremamente persistentes e difíceis de remover. Infectar o firmware significa essencialmente que não importa quantas vezes o sistema operacional tenha sido reinstalado, o malware contido no bootkit permanece no dispositivo.
Os pesquisadores da Kaspersky encontraram esse malware UEFI como parte de uma campanha que implantou variantes de uma estrutura modular complexa e de várias camadas chamada MosaicRegressor. A estrutura tem sido usada para espionagem e coleta de dados, com o malware UEFI fazendo parte dos métodos para se ancorar no sistema.
Vector EDK bootkit servido como um modelo
Os componentes UEFI bootkit são fortemente baseados no bootkit 'Vector-EDK' desenvolvido pela Hacking Team, cujo código-fonte vazou em 2015. Isso provavelmente permitiu que os invasores criassem seu próprio software com pouco esforço de desenvolvimento e risco de detecção.
Os ataques foram descobertos usando o scanner de firmware incluído nos produtos Kaspersky desde o início de 2019. A tecnologia foi projetada especificamente para detectar ameaças ocultas no ROM-BIOS - incluindo imagens de firmware UEFI.
Vetor de infecção desconhecido
Embora não tenha sido possível determinar o vetor de infecção exato que permitiu aos invasores substituir o firmware UEFI original, os pesquisadores da Kaspersky conseguiram deduzir como isso foi feito com base nas informações sobre o VectorEDK de documentos vazados do Hacking Team. Uma possibilidade é que a infecção tenha ocorrido por meio do acesso físico ao computador da vítima. Isso pode ter acontecido usando um stick USB inicializável que continha um utilitário de atualização especial. O firmware corrigido teria então permitido a instalação de um Trojan downloader; o malware que habilita uma carga de jogo adequada para o invasor deve ser baixado enquanto o sistema operacional estiver em execução.
Na maioria dos casos, no entanto, os componentes do MosaicRegressor foram entregues às vítimas usando meios muito menos sofisticados, como spear phishing, que envolvia esconder um conta-gotas em um arquivo contendo um arquivo isca. A estrutura de vários módulos da estrutura permitiu que os invasores ocultassem a estrutura mais ampla da análise e implantassem componentes nos computadores de destino somente quando necessário. O malware originalmente instalado no dispositivo infectado é um Trojan downloader. Este é um programa que pode ser usado para recarregar cargas adicionais e outros malwares. Dependendo da carga útil, o malware pode baixar ou carregar qualquer arquivo de e para qualquer URL e coletar informações do computador de destino.
Atacantes visam diplomatas e ONGs
O MosaicRegressor foi usado em uma série de ataques direcionados contra diplomatas e membros de ONGs na África, Ásia e Europa. Alguns dos ataques envolveram documentos de spear phishing em russo, enquanto outros foram vinculados à Coreia do Norte e usados como isca para baixar malware.
A campanha não pôde ser atribuída com certeza a um ator APT conhecido.
“Embora os ataques UEFI apresentem grandes oportunidades para os agentes de ameaças, o MosaicRegressor é o primeiro caso conhecido publicamente de um agente de ameaças usando firmware UEFI malicioso personalizado em estado selvagem”, disse Mark Lechtik, pesquisador sênior de segurança da Equipe Global de Pesquisa e Análise (GReAT) da Kaspersky. “Os ataques conhecidos anteriormente reaproveitaram e reutilizaram software legítimo, como o LoJax. Este é agora o primeiro ataque na natureza usando um kit de inicialização UEFI personalizado. Este ataque mostra que, embora raro, em casos excepcionais, os atores estão dispostos a fazer de tudo para permanecer no dispositivo da vítima pelo maior tempo possível. Os agentes de ameaças estão continuamente diversificando seus conjuntos de ferramentas e ficando mais criativos na forma como atacam as vítimas - e os fornecedores de segurança devem fazer o mesmo para ficar à frente dos cibercriminosos. A combinação de nossa tecnologia e nosso entendimento de campanhas atuais e passadas envolvendo firmware infectado nos permite monitorar e relatar futuros ataques contra tais alvos.”
Atores de ameaças têm uma clara vantagem
"Usar o código-fonte vazado de terceiros e adaptá-lo a um novo malware avançado mostra mais uma vez a importância da segurança dos dados", acrescenta Igor Kuznetsov, pesquisador de segurança do GReAT da Kaspersky. “Uma vez que o software – seja um bootkit, malware ou qualquer outra coisa – vaze, os agentes de ameaças têm uma clara vantagem. Porque as ferramentas disponíveis gratuitamente oferecem a eles a oportunidade de evoluir e personalizar seus conjuntos de ferramentas com menos esforço e menos probabilidade de serem reconhecidos.”
Mais sobre isso em Kaspersky.de
Sobre Kaspersky A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. A profunda inteligência de ameaças e experiência em segurança da Kaspersky serve como base para soluções e serviços de segurança inovadores para proteger empresas, infraestrutura crítica, governos e consumidores em todo o mundo. O abrangente portfólio de segurança da empresa inclui proteção de endpoint líder e uma variedade de soluções e serviços de segurança especializados para se defender contra ameaças cibernéticas complexas e em evolução. Mais de 400 milhões de usuários e 250.000 clientes corporativos são protegidos pelas tecnologias da Kaspersky. Mais informações sobre Kaspersky em www.kaspersky.com/