Spionaj și colectare de date, la nivel înalt

Reading Time: 3 minute

Experți în securitate informatică au descoperit o campanie avansată de spionaj cu amenințare persistentă (APT) care utilizează un tip de malware foarte rar întâlnit, cunoscut sub numele de firmware bootkit. Persoanele vizate erau diplomați și membri ai ONG-urilor din Africa, Asia și Europa. Unele atacuri au inclus documente de tip spearphishing în limba rusă, în timp ce altele au fost legate de Coreea de Nord și utilizate ca momeală pentru a descărca malware.

Firmware-ul UEFI este o parte esențială a unui computer, care începe să ruleze înaintea sistemului de operare și de toate programele instalate în acesta. Dacă firmware-ul UEFI este modificat cumva pentru a conține cod rău intenționat, codul respectiv va fi lansat înainte de sistemul de operare, ceea ce va face activitatea sa potential invizibilă pentru soluțiile de securitate. Acest lucru, precum și faptul că firmware-ul în sine se află pe un chip flash separat pe hard disk, face atacurile împotriva UEFI excepțional de evazive și persistente – infecția firmware-ului înseamnă, în esență, că, indiferent de câte ori se reinstalează sistemul de operare, malware-ul implantat de bootkit rămâne pe dispozitiv.

Cercetătorii Kaspersky au găsit un eșantion de astfel de programe malware utilizate într-o campanie care a implementat variante ale unui cadru modular complex, cu mai multe etape, denumit MosaicRegressor. Cadrul a fost folosit pentru spionaj și colectarea de date, malware- ul UEFI fiind una dintre metodele de persistență pentru acest malware nou, necunoscut anterior.

Hacking Team

Componentele dezvăluite ale kitului de boot UEFI s-au bazat în mare măsură pe bootkit-ul “Vector-EDK” dezvoltat de Hacking Team și al cărui cod sursă a apărut online în 2015. Codul dezvăluit a permis, cel mai probabil, autorilor, să-și construiască propriul software cu un efort redus de dezvoltare și un risc redus de expunere.

Atacurile au fost descoperite cu ajutorul Firmware Scanner, care a fost inclus în produsele Kaspersky de la începutul anului 2019. Această tehnologie a fost dezvoltată specific pentru a detecta amenințările ascunse în BIOS-ul ROM, inclusiv imaginile firmware UEFI. Deși nu a fost posibil să se detecteze exact vectorul de infecție care le-a permis atacatorilor să intervină peste firmware-ul UEFI original, cercetătorii Kaspersky au dedus un mod prin care acest lucru ar putea fi realizat, pe baza a ceea ce se știe despre VectorEDK din documentele echipei de hacking. Acestea sugerează, fără a exclude alte opțiuni, că infecțiile ar fi putut fi posibile prin accesul fizic la echipamentul victimei, în special cu o cheie USB bootabilă, care ar conține un utilitar special de actualizare.

Firmware-ul cu patch-uri ar facilita apoi instalarea unui program de descărcare Troian – malware care permite descărcarea oricărei sarcini utile adecvate nevoilor atacatorului atunci când sistemul de operare este în funcțiune. Cu toate acestea, în majoritatea cazurilor, componentele MosaicRegressor au fost livrate victimelor folosind măsuri mai puțin sofisticate, cum ar fi livrarea de tip spearphishing a unui
dropper ascuns într-o arhivă împreună cu un fișier folosit drept momeală.

Descărcare troian

“Utilizarea codului sursă terț dezvăluit și personalizarea acestuia într-un nou malware avansat ridică încă o data problema importanței securității datelor. Odată ce software-ul, fie că este un bootkit, malware sau altceva – este dezvăluit, atacatorii câștigă un avantaj semnificativ. Instrumentele disponibile gratuit le oferă posibilitatea de a avansa și de a-și personaliza armele de atac cu mai puțin efort și șanse mai mici de a fi detectate “, spune Igor Kuznetsov, principal security researcher at Kasperky GReAT.

Structura de module multiple a cadrului a permis atacatorilor să ascundă cadrul mai larg de la analize și să implementeze componente care să solicite echipamentele numai la cerere. Programul malware instalat initial pe dispozitivul infectat este un program de descărcare troian, fiind capabil să descarce sarcini poate descărca sau încărca fișiere arbitrare din/către adrese URL arbitrare și poate colecta informații de pe echipamentul vizat.