Dostarczanie szkodliwego programu za pośrednictwem bootkita UEFI z MosaicRegressor

Cyberprzestępcy wykorzystują wyrafinowaną szkodliwą architekturę zawierającą narzędzia, które wyciekły ugrupowaniu Hacking Team.

Niedawno nasi badacze wykryli wyrafinowany atak ukierunkowany wymierzony w instytucje dyplomatyczne i członków organizacji pozarządowych z Azji, Europy i Afryki. Na tę chwile wiemy, że wszystkie ofiary były związane z Koreą Północną, na przykład prowadząc działalność non-profit lub mając powiązania dyplomatyczne.

Atakujący użyli wyrafinowanej modułowej architektury cyberszpiegowskiej, którą nasi badacze nazwali MosaicRegressor. W toku badania okazało się, że w niektórych przypadkach szkodliwy program przedostawał się na komputery użytkowników za pośrednictwem zmodyfikowanych interfejsów UEFI, co jest niezwykle rzadko spotykane na wolności. Jednak przeważnie atakujący używali bardziej tradycyjnej metody w postaci phishingu spersonalizowanego.

Czym jest interfejs UEFI i dlaczego ten bootkit stwarza zagrożenie?

UEFI, podobnie jak BIOS (który zastępuje), to oprogramowanie, które uruchamia się wraz ze starem komputera, jeszcze przed systemem operacyjnym. Co więcej, nie jest on przechowywany na dysku twardym, lecz na czipie w pamięci głównej. Jeśli cyberprzestępcy zmodyfikują kod interfejsu UEFI, potencjalnie mogą go użyć do dostarczania szkodliwego programu do systemu ofiary.

Tak właśnie było w przypadku opisywanej kampanii. Ponadto podczas tworzenia zmodyfikowanego oprogramowania układowego UEFI atakujący używali kodu źródłowego VectorEDK, czyli bootkita należącego do ugrupowania hakerskiego o nazwie Hacking Team, który wyciekł w internecie. Mimo że kod źródłowy stał się publicznie dostępny już w 2015 roku, jest to pierwszy dowód na to, że został on wykorzystany przez cyberprzestępców.

Gdy system uruchamia się, bootkit umieszcza szkodliwy plik IntelUpdate.exe w folderze uruchamiania systemu. Plik wykonywalny pobiera i instaluje na komputerze inne komponenty zagrożenia MosaicRegressor. Niestety, nawet jeśli ten szkodliwy plik zostanie wykryty, nie można go usunąć, chociażby poprzez ponowną instalację systemu operacyjnego. Problem rozwiązuje ponowne flashowanie płyty głównej.

Jak niebezpieczny jest MosaicRegressor?

Komponenty MosaicRegressor, które przedostały się na komputery ofiar (za pośrednictwem zhaowanego interfejsu UEFI lub phishingu ukierunkowanego) połączone z ich serwerami kontroli, pobierały i uruchamiały dodatkowe moduły. Następnie moduły te były używane do kradzieży informacji; na przykład jeden z nich wysyłał do cyberprzestępców ostatnio otwierane dokumenty.

Do komunikacji z serwerami kontroli służyło kilka mechanizmów: biblioteka cURL (dla połączeń HTTP/HTTPS), interfejs Background Intelligent Transfer Service (BITS), interfejs programistyczny WinHTTP i publiczne usługi pocztowe, które wykorzystują protokół POP3S, SMTPS lub IMAPS.

W poście opublikowanym w serwisie Securelist umieściliśmy więcej szczegółowych informacji i analizę techniczną szkodliwej architektury MosaicRegressor, a także oznaki włamania.

Jak zapewnić sobie ochronę przed zagrożeniem MosaicRegressor?

Aby zapewnić sobie bezpieczeństwo przed MosaicRegressor, najpierw należy pamiętać o phishingu ukierunkowanym, bo właśnie od niego rozpoczyna się cały wyrafinowany atak. Aby zapewnić maksymalna ochronę komputerom pracowników, zalecamy stosowanie produktów ochronnych posiadających zaawansowane technologie chroniące przed phishingiem oraz edukowanie pracowników w celu zwiększenia ich świadomości w kwestii tego rodzaju ataków.

Nasze rozwiązanie ochronne wykrywa szkodliwe moduły, których celem jest kradzież danych.

Jeśli chodzi o zhakowane oprogramowanie układowe, niestety nie wiemy, w jaki sposób bootkit przedostaje się na komputery ofiar. Na podstawie danych z wycieku HackingTeam możemy wnioskować, że atakujący najprawdopodobniej potrzebowali dostępu fizycznego i użyli dysku USB do ich zainfekowania. Jednak nie można również wykluczyć innych metod zhakowania interfejsu UEFI.

Aby ochronić się przed bootkitem MosaicRegressor UEFI:

  • Sprawdź na stronie internetowej producenta swojego komputera lub płyty głównej, czy używany przez Ciebie sprzęt obsługuje technologię Intel Boot Guard, zapobiegającą nieautoryzowanym modyfikacjom oprogramowania układowego UEFI.
  • Stosuj szyfrowanie całego dysku, dzięki której bootkit nie będzie mógł instalować swoich ładunków.
  • Stosuj niezawodne rozwiązanie zabezpieczające, które potrafi skanować i identyfikować zagrożenia tego typu. Począwszy od roku 2019 nasze produkty potrafią wyszukiwać zagrożenia ukrywające się w pamięci ROM systemu BIOS i oprogramowaniu UEFI. Nasza technologia Firmware Scanner wykrywa ten atak.
Porady