MosaicRegressor – hrozba číhající ve stínu UEFI
14.10.2020
MosaicRegressor – hrozba číhající ve stínu UEFI

Odborníci ze společnosti Kaspersky odhalili pokročilou trvalou hrozbu (APT), která ke kyberšpionáži používá velmi ojedinělý druh malwaru známý jako firmware bootkit. Ten byl detekován monitorovací technologií UEFI / BIOS od Kaspersky, která je schopná detekovat známé i neznámé hrozby. Tato technologie objevila doposud neznámý malware v rozhraní Unified Extensible Firmware Interface (UEFI), které je nezbytnou součástí všech moderních počítačů. Kvůli tomu je velmi obtížné ji odhalit a zbavit se jí. Tento UEFI bootkit byl pro tento malware vytvořen na míru díky bootkitu Hacking Team, který unikl v roce 2015.

UEFI firmware je nedílnou součástí počítače, která se spustí ještě před operačním systémem a dalšími nainstalovanými programy. Pokud dojde k jakémukoliv upravení UEFI firmwaru a vložení škodlivého kódu, dojde k jeho spuštění ještě před nastartováním operačního systému, čímž se stane v podstatě neviditelným pro bezpečnostní řešení. Firmware je navíc uložen na flash chipu odděleně od pevného disku, což z takového útoku dělá velmi nenápadnou a trvalou hrozbu. Infekce firmwaru tak v podstatě znamená, že bez ohledu na to, kolikrát byl operační systém přeinstalován, malware rozšířený bootkitem zůstává v zařízení téměř na vždy.

Odborníci ze společnosti Kaspersky objevili vzorky tohoto malwaru v kampaních, které šířily různé komplexní, několikastupňové modulární struktury známé jako MosaicRegressor. Ty byly použity ke špionáži a shromažďování dat, přičemž UEFI malware použili útočníci jako jednu z metod persistence pro tento nový a doposud neznámý malware.

Objevené části UEFI bootkitu vycházejí do značné míry z bootkitu „Vector-EDK“, který vyvinuli hackeři z Hacking Team. Zdrojový kód této sady unikl na internet v roce 2015, což s největší pravděpodobností umožnilo pachatelům snadno vytvořit vlastní software.

Popisované útoky byly odhaleny pomocí firmwarového skeneru Firmware Scanner, který je součástí produktů Kaspersky od začátku roku 2019. Tato technologie byla vyvinuta s cílem detekovat hrozby skrývající se v ROM BIOS včetně firmwaru UEFI.

I když nebylo možné přesně zjistit, jak došlo k infikaci počítače, která útočníkům umožnila přepsat originální firmware UEFI, odborníci z Kaspersky odvodili jednu možnost, jak by to bylo možné udělat. Jejich předpoklad se zakládá na informacích o VectorEDK, které unikly v dokumentech Hacking Teamu. Údaje naznačují, aniž by byly vyloučeny další možnosti, že k infekci mohlo dojít prostřednictvím fyzického přístupu k počítači oběti, konkrétně pomocí bootovatelného USB klíče, který obsahoval speciální aktualizační nástroj. Patchovaný firmware by pak usnadnil instalaci Trojan downloaderu – malwaru, který umožňuje stažení libovolného škodlivého programu, když je spuštěný operační systém.

Ve většině případů byly ale komponenty MosaicRegressor doručovány obětem mnohem méně sofistikovaným způsobem, jakým je spear-phishing, kdy byl dropper ukryt v archivu společně s decoy souborem. Vícemodulová struktura umožnila útočníkům skrýt svoji širší strukturu před možnou analýzou a umisťovat škodlivé komponenty pouze do cíleně vybraných počítačů. Prvním malwarem staženým do infikovaného zařízení je Trojan-downloader. V závislosti na tom, jaký další škodlivý malware tento program stáhne, dojde ke stažení nebo nahrání libovolných arbitrárních souborů z nebo na arbitrární URL adresy a ke shromažďování informací z napadeného počítače.

Na základě odhalených spojení mezi oběťmi byli odborníci schopni určit, že MosaicRegressor byl použit v sérii cílených útoků zaměřených na diplomaty a členy nevládních organizací z Afriky, Asie a Evropy. Některé z útoků obsahovaly spear-phishingové dokumenty v ruštině, zatímco jiné se týkaly Severní Koreje a sloužily jako návnada ke stažení malwaru.

Kampaň nelze s určitostí přiřadit žádné známé kyberzločinecké skupině.

„Použití uniklého zdrojového kódu třetí strany a jeho přizpůsobení novému pokročilému malwaru opět zdůrazňuje důležitost zabezpečení dat. Jakmile dojde k úniku softwaru – ať už jde o bootkit, malware nebo něco jiného – získávají kyberzločinci velkou výhodu. Díky volně dostupným nástrojům mohou vylepšovat a přizpůsobovat své sady nástrojů s menším úsilím a menší pravděpodobností odhalení,“ komentuje Igor Kuznětsov, bezpečnostní odborník týmu GReAT společnosti Kaspersky.

Více detailů o MosaicRegressor je dostupných na blogu Securelist.