Касперський виявив у дикій природі новий буткіт прошивки. Він заснований на наборі інструментів Hacking Team. Його вже використовували для нападів на дипломатів і членів неурядових організацій у Європі, Африці та Азії.
Дослідники Kaspersky виявили шпигунську кампанію Advanced Persistent Threat (APT) з використанням буткіта прошивки. Зловмисне програмне забезпечення було виявлено за допомогою технології сканування UEFI/BIOS Kaspersky, яка також може виявляти невідомі загрози. Технологія сканування виявила раніше невідоме зловмисне програмне забезпечення в уніфікованому розширюваному інтерфейсі прошивки (UEFI), що є важливою частиною кожного сучасного комп’ютерного пристрою сьогодні, що ускладнює виявлення заражених пристроїв і видалення з них зловмисного програмного забезпечення. Буткіт UEFI зловмисного програмного забезпечення є налаштованою версією буткіта Hacking Team, який витік у 2015 році.
Прошивка UEFI може містити шкідливий код
Прошивка UEFI є важливою частиною комп’ютера, яка працює перед операційною системою та всіма інстальованими на ній програмами. Якщо мікропрограма UEFI містить зловмисний код, цей код запускатиметься раніше операційної системи та може не бути виявлений засобами безпеки. Через це, а також через те, що мікропрограмне забезпечення розміщується на окремому від жорсткого диска флеш-чіпі, атаки на UEFI надзвичайно стійкі, і їх важко усунути. Зараження мікропрограми по суті означає, що незалежно від того, скільки разів операційна система була перевстановлена, зловмисне програмне забезпечення, що міститься в буткіті, залишається на пристрої.
Дослідники Kaspersky виявили таке шкідливе програмне забезпечення UEFI у рамках кампанії, яка розгортала варіанти складної багаторівневої модульної структури під назвою MosaicRegressor. Фреймворк використовувався для шпигунства та збору даних, а зловмисне програмне забезпечення UEFI було частиною методів закріплення в системі.
Буткіт Vector EDK слугував шаблоном
Компоненти буткіта UEFI значною мірою базуються на буткіті «Vector-EDK», розробленому Hacking Team, вихідний код якого злив у 2015 році. Це, швидше за все, дозволило зловмисникам створити власне програмне забезпечення з невеликими зусиллями щодо розробки та ризиком виявлення.
Атаки були виявлені за допомогою сканера прошивки, який включено в продукти Kaspersky з початку 2019 року. Технологія спеціально розроблена для виявлення загроз, що ховаються в ROM-BIOS, включаючи образи прошивки UEFI.
Переносник інфекції невідомий
Хоча неможливо було визначити точний вектор зараження, який дозволив зловмисникам перезаписати оригінальну мікропрограму UEFI, дослідники Kaspersky змогли зробити висновок, як це було зроблено на основі інформації про VectorEDK з витоку документів Hacking Team. Однією з можливостей є те, що зараження було можливе через фізичний доступ до комп’ютера жертви. Це могло статися за допомогою завантажувального USB-накопичувача, який містив спеціальну утиліту оновлення. Тоді виправлена мікропрограма дозволила б встановити завантажувач троянів; Зловмисне програмне забезпечення, яке забезпечує відтворення, придатне для зловмисника, має бути завантажено під час роботи операційної системи.
Однак у більшості випадків компоненти MosaicRegressor доставлялися жертвам за допомогою набагато менш складних засобів, таких як фішинг, який передбачав приховування дроппера в архіві, що містив файл-приманку. Багатомодульна структура інфраструктури дозволила зловмисникам приховати ширшу структуру від аналізу та розгорнути компоненти на цільових комп’ютерах лише за потреби. Зловмисне програмне забезпечення, спочатку встановлене на зараженому пристрої, є троянським завантажувачем. Це програма, яку можна використовувати для завантаження додаткових корисних даних та іншого шкідливого програмного забезпечення. Залежно від корисного навантаження, зловмисне програмне забезпечення може завантажувати або завантажувати будь-які файли з будь-якої URL-адреси та збирати інформацію з цільового комп’ютера.
Цілями нападників є дипломати та громадські організації
MosaicRegressor використовувався в серії цілеспрямованих атак на дипломатів і членів неурядових організацій в Африці, Азії та Європі. Деякі з атак стосувалися фішингових документів російською мовою, тоді як інші були пов’язані з Північною Кореєю та використовувалися як приманка для завантаження шкідливого програмного забезпечення.
Кампанію неможливо з упевненістю призначити відомому актору APT.
«Хоча атаки UEFI створюють великі можливості для загрозливих акторів, MosaicRegressor є першим публічно відомим випадком, коли загрозливий актор використовує спеціальну шкідливу мікропрограму UEFI у дикій природі», — сказав Марк Лехтік, старший дослідник безпеки Глобальної дослідницької та аналітичної групи (GReAT) з Kaspersky. «Раніше відомі атаки перепрофілювали та повторно використовували законне програмне забезпечення, таке як LoJax. Тепер це перша атака в дикій природі з використанням спеціально створеного набору завантаження UEFI. Ця атака показує, що, хоч і рідко, але у виняткових випадках актори готові докласти чимало зусиль, щоб залишатися на пристрої жертви якомога довше. Зловмисники постійно урізноманітнюють свої набори інструментів і стають більш креативними в тому, як вони націлені на жертв, і постачальники засобів безпеки повинні робити те саме, щоб випереджати кіберзлочинців. Поєднання нашої технології та нашого розуміння поточних і минулих кампаній, пов’язаних із зараженим мікропрограмним забезпеченням, дозволяє нам відстежувати майбутні атаки на такі цілі та звітувати про них».
Суб’єкти загрози мають явну перевагу
«Використання витоку стороннього вихідного коду та його адаптація до нового передового шкідливого програмного забезпечення ще раз демонструє важливість безпеки даних», — додає Ігор Кузнєцов, дослідник безпеки в GReAT Kaspersky. «Після витоку програмного забезпечення — будь то буткіт, зловмисне програмне забезпечення чи щось інше — загрозливі суб’єкти мають явну перевагу. Оскільки вільно доступні інструменти дають їм можливість розвиватися та налаштовувати свої набори інструментів з меншими зусиллями та меншою ймовірністю бути визнаними».
Більше про це на Kaspersky.de
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/