Изображение: bert sz
Второй в мире руткит UEFI, используемый в дикой природе, был обнаружен исследователями безопасности в ходе расследования атак с 2019 года на две неправительственные организации (НПО).
Микропрограммное обеспечение UEFI (Unified Extensible Firmware Interface) позволяет использовать очень стойкие вредоносные программы, поскольку они установлены во флэш-памяти SPI, припаянной к материнской плате компьютера, что делает невозможным избавление от них путем переустановки ОС или замены жесткого диска.
Буткит UEFI, названный MosaicRegressor открывшими его исследователями «Лаборатории Касперского» Марком Лечтиком и Игорем Кузнецовым, представляет собой модульную и многоэтапную вредоносную среду, используемую хакерами, говорящими по-китайски, в операциях по краже данных и шпионажу.
Известен лишь еще один экземпляр буткита UEFI, который используется в дикой природе , а именно LoJax, руткит, обнаруженный ESET в 2018 году.
LoJax был внедрен русскоязычной хакерской группой APT28 в законное противоугонное программное обеспечение LoJack в виде исправленных модулей UEFI.
Руткит UEFI MosaicRegressor
Вредоносные образы прошивки UEFI были изменены злоумышленниками путем внедрения нескольких вредоносных модулей, которые можно использовать для развертывания вредоносных программ на целевых устройствах.MosaicRegressor имеет несколько загрузчиков, а иногда и несколько промежуточных загрузчиков, конечной целью которых является загрузка и выполнение вредоносных полезных нагрузок на целевых машинах.
«Тот факт, что структура состоит из нескольких модулей, помогает злоумышленникам скрыть более широкую структуру от анализа и развертывать компоненты на целевых машинах только по запросу», - объясняет Касперский.
«Действительно, в ходе нашего расследования мы смогли получить только несколько компонентов полезной нагрузки».
В то время как «Касперский» получил только ограниченное количество компонентов вредоносной среды, по крайней мере один из них, используемый вариантом буткита BitsRegEx, использовался для кражи, архивирования и удаления содержимого папки «Недавние документы».
Этот руткит UEFI представляет собой специальную версию буткита VectorEDK от Hacking Team , просочившегося в 2015 году, что, вероятно, позволило разработчикам MosaicRegressor тратить гораздо меньше времени на его создание и значительно снизить риск заражения.
Обзор варианта BitsRegEx ( Kaspersky )
Цели и способ доставки вредоносного ПО
В период с 2017 по 2019 год несколько компонентов MosaicRegressor были обнаружены на компьютерах нескольких десятков организаций, включая неправительственные организации и дипломатические учреждения из Африки, Азии и Европы.«Основываясь на принадлежности обнаруженных жертв, мы могли определить, что все они имели какое-то отношение к КНДР, будь то некоммерческая деятельность, связанная со страной, или фактическое присутствие в ней», - говорится в отчете.
«Эта общая тема может быть усилена одним из векторов заражения, который использовался для доставки вредоносного ПО некоторым жертвам, которые представляли собой архивы SFX, выдававшие себя за документы, обсуждающие различные темы, связанные с Северной Кореей».
«К сожалению, нам не удалось определить точный вектор заражения, который позволил злоумышленникам перезаписать исходную прошивку UEFI. Наши журналы обнаружения показывают, что сама прошивка была признана вредоносной, но ей не предшествовали никакие подозрительные события».
Одна из возможностей, обозначенных Kaspersky, заключается в физическом доступе к взломанным машинам и использовании специального инструмента обновления для внедрения вредоносного кода при загрузке целевого устройства с USB-накопителя.
Другой вариант - установить буткит удаленно, сначала скомпрометировав процесс проверки подлинности обновления BIOS после использования уязвимостей BIOS.
Полный отчет Касперского (включая технические подробности) о многоступенчатом модульном бутките MosaicRegressor UEFI можно найти здесь (PDF).
Перевод с анлийского - Google
