Kaspersky, vahşi ortamda yeni bir ürün yazılımı önyükleme seti keşfetti. Hacking Team'in araç setini temel alır. Avrupa, Afrika ve Asya'daki diplomatlara ve STK üyelerine yönelik saldırılarda zaten kullanıldı.
Kaspersky araştırmacıları, bir ürün yazılımı önyükleme seti kullanan bir Gelişmiş Kalıcı Tehdit (APT) casusluk kampanyasını ortaya çıkardı. Kötü amaçlı yazılım, Kaspersky'nin bilinmeyen tehditleri de algılayabilen UEFI/BIOS tarama teknolojisi tarafından tespit edildi. Tarama teknolojisi, günümüzde her modern bilgi işlem cihazının önemli bir parçası olan Birleşik Genişletilebilir Ürün Yazılımı Arabiriminde (UEFI) önceden bilinmeyen bir kötü amaçlı yazılım tespit etti ve bu, virüs bulaşmış aygıtların algılanmasını ve kötü amaçlı yazılımın bunlardan kaldırılmasını çok zorlaştırdı. Kötü amaçlı yazılımın UEFI bootkit'i, Hacking Team'in 2015'te sızan bootkit'inin özelleştirilmiş bir versiyonu.
UEFI bellenimi kötü amaçlı kod içerebilir
UEFI üretici yazılımı, işletim sisteminin ve içinde yüklü olan tüm programların önünde çalışan bir bilgisayarın önemli bir parçasıdır. UEFI bellenimi kötü amaçlı kod içeriyorsa bu kod işletim sisteminden önce başlar ve güvenlik çözümleri tarafından algılanmayabilir. Bu nedenle ve ürün yazılımı sabit sürücüden ayrı bir flash yongada bulunduğundan, UEFI'ye yönelik saldırılar son derece kalıcıdır ve ortadan kaldırılması zordur. Ürün yazılımına bulaşmak, temel olarak, işletim sistemi kaç kez yeniden yüklenirse kurulsun, önyükleme setinde bulunan kötü amaçlı yazılımın cihazda kalması anlamına gelir.
Kaspersky araştırmacıları, bu tür UEFI kötü amaçlı yazılımlarını, MosaicRegressor adlı karmaşık, çok katmanlı modüler bir çerçevenin varyantlarını dağıtan bir kampanyanın parçası olarak buldu. Çerçeve, casusluk ve veri toplama için kullanıldı ve UEFI kötü amaçlı yazılımı, kendisini sisteme sabitleme yöntemlerinin bir parçası oldu.
Şablon görevi gören vektör EDK bootkit
UEFI önyükleme seti bileşenleri, büyük ölçüde, kaynak kodu 2015 yılında sızdırılan Hacking Team tarafından geliştirilen "Vector-EDK" önyükleme setine dayanmaktadır. Bu, büyük olasılıkla saldırganların çok az geliştirme çabası ve algılama riski ile kendi yazılımlarını oluşturmalarına izin verdi.
Saldırılar, 2019'un başından beri Kaspersky ürünlerine dahil edilen üretici yazılımı tarayıcısı kullanılarak keşfedildi. Teknoloji, UEFI sabit yazılım görüntüleri de dahil olmak üzere ROM-BIOS'ta gizlenen tehditleri tespit etmek için özel olarak tasarlanmıştır.
Enfeksiyon vektörü bilinmiyor
Saldırganların orijinal UEFI üretici yazılımının üzerine yazmasına izin veren tam bulaşma vektörünü belirlemek mümkün olmasa da Kaspersky araştırmacıları, sızdırılan Hacking Team belgelerinden VectorEDK hakkındaki bilgilere dayanarak bunun nasıl yapıldığını çıkarabildi. Bir olasılık, kurbanın bilgisayarına fiziksel erişim yoluyla bulaşmanın mümkün olduğudur. Bu, özel bir güncelleme yardımcı programı içeren önyüklenebilir bir USB çubuğu kullanılarak olmuş olabilir. Yamalı üretici yazılımı, bir Truva atı indiricisinin kurulmasına izin verirdi; Saldırgana uygun bir oynatma yükü sağlayan kötü amaçlı yazılım, işletim sistemi çalışırken indirilmelidir.
Ancak çoğu durumda, MosaicRegressor bileşenleri kurbanlara, tuzak dosyası içeren bir arşivde bir damlalığın saklanmasını içeren hedef odaklı kimlik avı gibi çok daha az karmaşık yöntemler kullanılarak teslim edildi. Çerçevenin çok modüllü yapısı, saldırganların daha geniş çerçeveyi analizden gizlemesine ve bileşenleri yalnızca gerektiğinde hedeflenen bilgisayarlara dağıtmasına izin verdi. Virüslü cihaza orijinal olarak yüklenen kötü amaçlı yazılım, bir Truva atı indiricisidir. Bu, ek yükler ve diğer kötü amaçlı yazılımları yüklemek için kullanılabilen bir programdır. Yüke bağlı olarak, kötü amaçlı yazılım herhangi bir URL'ye dosya indirebilir veya herhangi bir URL'den yükleyebilir ve hedef bilgisayardan bilgi toplayabilir.
Saldırganlar diplomatları ve STK'ları hedef alıyor
MosaicRegressor, Afrika, Asya ve Avrupa'daki diplomatlara ve STK üyelerine yönelik bir dizi hedefli saldırıda kullanıldı. Saldırılardan bazıları Rusça hedef odaklı kimlik avı belgelerini içerirken, diğerleri Kuzey Kore ile bağlantılıydı ve kötü amaçlı yazılım indirmek için yem olarak kullanıldı.
Kampanya, bilinen bir APT aktörüne kesin olarak atanamadı.
Küresel Araştırma ve Analiz Ekibi'nden (GReAT) kıdemli güvenlik araştırmacısı Mark Lechtik, "UEFI saldırıları, tehdit aktörleri için harika fırsatlar sunarken, MosaicRegressor, bir tehdit aktörünün vahşi ortamda özel kötü amaçlı UEFI aygıt yazılımı kullandığına dair kamuoyu tarafından bilinen ilk vakadır" dedi. Kaspersky. "Önceden bilinen saldırılar, LoJax gibi meşru yazılımları yeniden amaçlandırdı ve yeniden kullandı. Bu, özel olarak oluşturulmuş bir UEFI önyükleme kiti kullanan ilk vahşi saldırıdır. Bu saldırı, nadiren de olsa istisnai durumlarda aktörlerin bir kurbanın cihazında mümkün olduğu kadar uzun süre kalmak için büyük çaba sarf etmeye istekli olduklarını gösteriyor. Tehdit aktörleri araç setlerini sürekli olarak çeşitlendiriyor ve kurbanları nasıl hedef alacakları konusunda daha yaratıcı oluyorlar ve güvenlik sağlayıcıları da siber suçluların bir adım önünde olmak için aynısını yapmalı. Teknolojimizin ve virüslü ürün yazılımı içeren mevcut ve geçmiş kampanyalara ilişkin anlayışımızın birleşimi, bu tür hedeflere yönelik gelecekteki saldırıları izlememize ve raporlamamıza olanak tanıyor."
Tehdit aktörlerinin açık bir avantajı var
Kaspersky GReAT güvenlik araştırmacısı Igor Kuznetsov, "Sızan üçüncü taraf kaynak kodunu kullanmak ve bunu yeni bir gelişmiş kötü amaçlı yazılıma uyarlamak, veri güvenliğinin önemini bir kez daha gösteriyor" diye ekliyor. “Bir yazılım (bootkit, kötü amaçlı yazılım veya başka bir şey) bir kez sızdırıldığında, tehdit aktörleri açık bir avantaj elde eder. Çünkü ücretsiz olarak sunulan araçlar, onlara araç setlerini daha az çabayla ve daha az tanınma olasılığıyla geliştirme ve özelleştirme fırsatı veriyor."
Kaspersky.de'de bununla ilgili daha fazla bilgi
Kaspersky Hakkında Kaspersky, 1997 yılında kurulmuş uluslararası bir siber güvenlik şirketidir. Kaspersky'nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya çapında işletmeleri, kritik altyapıları, hükümetleri ve tüketicileri korumaya yönelik yenilikçi güvenlik çözümlerinin ve hizmetlerinin temelini oluşturur. Şirketin kapsamlı güvenlik portföyü, karmaşık ve gelişen siber tehditlere karşı savunma için lider uç nokta koruması ve bir dizi özel güvenlik çözümü ve hizmeti içerir. 400 milyondan fazla kullanıcı ve 250.000 kurumsal müşteri, Kaspersky teknolojileri tarafından korunmaktadır. www.kaspersky.com/ adresinde Kaspersky hakkında daha fazla bilgi