5 października 2020

MosaicRegressor: trudne do wykrycia i usunięcia szkodliwe narzędzie infekujące oprogramowanie układowe komputerów

Badacze firmy Kaspersky wykryli zaawansowaną kampanię cyberszpiegowską, w której wykorzystywano niezwykle rzadko spotykany rodzaj szkodliwego oprogramowania - bootkit oprogramowania układowego. Nowy szkodnik został zidentyfikowany przez technologię skanowania UEFI / BIOS firmy Kaspersky, która służy do wykrywania znanych i nieznanych zagrożeń. Umiejscowienie szkodnika w tym niezbędnym elemencie każdego współczesnego urządzenia komputerowego spowodowało, że był on niezwykle trudny do wykrycia i usunięcia z zainfekowanych urządzeń. Wykorzystany bootkit UEFI stanowi zmodyfikowaną wersję narzędzia cybergangu Hacking Team, którego kod wyciekł w 2015 r.


Oprogramowanie układowe UEFI stanowi zasadniczy element komputera, który uruchamia się przed systemem operacyjnym oraz wszystkimi zainstalowanymi programami. Jeśli na skutek modyfikacji oprogramowanie układowe UEFI będzie zawierało szkodliwy kod, także zostanie on uruchomiony przed systemem operacyjnym, przez co jego aktywność może być niewidoczna dla rozwiązań bezpieczeństwa. Ponieważ oprogramowanie układowe mieści się w chipie flash, który jest oddzielony od dysku twardego, ataki na UEFI mogą być wyjątkowo trudne do wykrycia i uporczywe - infekcja oprogramowania układowego oznacza, że szkodnik umieszczony na urządzeniu przez bootkita pozostanie w nim niezależnie od tego, ile razy przeinstalujemy system operacyjny.

Badacze z firmy Kaspersky odkryli, że próbka takiego szkodliwego oprogramowania została wykorzystana w kampanii, w której zastosowano warianty złożonego, wieloetapowego systemu modułowego o nazwie MosaicRegressor. System ten został wykorzystany do celów szpiegowskich oraz do gromadzenia danych.

Zidentyfikowane komponenty bootkita UEFI w dużym stopniu opierały się na narzędziu "Vector-EDK", które zostało stworzone przez cybergang Hacking Team, a jego kod źródłowy wyciekł do sieci w 2015 r. Kod ten najprawdopodobniej umożliwił cyberprzestępcom stworzenie własnego oprogramowania przy niewielkim wysiłku.

Ataki zidentyfikowano za pomocą narzędzia Firmware Scanner, które funkcjonuje w produktach firmy Kaspersky od początku 2019 r. Technologia ta została opracowana w celu wykrywania zagrożeń ukrywających się w pamięci BIOS-u, łącznie z obrazami oprogramowania układowego UEFI.

Chociaż ustalenie dokładnego wektora infekcji, który umożliwił cyberprzestępcom nadpisanie oryginalnego oprogramowania układowego UEFI, nie było możliwe, badacze z firmy Kaspersky przygotowali jeden z możliwych scenariuszy na podstawie tego, co wiadomo o narzędziu VectorEDK z dokumentów cybergangu Hacking Team, które wyciekły do sieci. Dokumenty te sugerują, nie wykluczając innych opcji, że infekcje mogły nastąpić za pośrednictwem fizycznego dostępu do maszyny ofiary, konkretnie przy pomocy rozruchowego nośnika USB zawierającego specjalne narzędzie aktualizacji. Zmodyfikowane oprogramowanie układowe umożliwiłoby następnie instalację modułu, który umożliwia pobranie po starcie systemu operacyjnego dowolnej szkodliwej funkcji stosownie do potrzeb cyberprzestępcy.

Jednak w większości przypadków komponenty platformy MosaicRegressor trafiły do ofiar przy użyciu znacznie mniej wyrafinowanych metod, takich jak wykorzystanie spersonalizowanego phishingu w celu dostarczenia szkodliwego narzędzia ukrytego w archiwum wraz z przynętą. Posiadając wielomodułową strukturę, MosaicRegressor wymykał się pełnej analizie, a przestępcy mogli umieszczać jego komponenty na atakowanych maszynach jedynie "na żądanie". Szkodnikiem, który był pierwotnie instalowany na zainfekowanym urządzeniu, był tzw. trojan-downloader, czyli program potrafiący pobierać dodatkowe moduły oraz inne szkodliwe programy. W zależności od wykorzystanej funkcji szkodnik mógł pobrać lub przesłać dowolne pliki, korzystając z listy określonych adresów URL, oraz gromadzić informacje z atakowanych maszyn.

Na podstawie powiązań między wykrytymi ofiarami badacze zdołali ustalić, że MosaicRegressor był wykorzystany w serii ataków ukierunkowanych wymierzonych w dyplomatów oraz członków organizacji pozarządowych z Afryki, Azji oraz Europy. Niektóre z ataków obejmowały dokumenty w języku rosyjskim w ramach spersonalizowanego phishingu, podczas gdy inne były związane z Koreą Północną i służyły jako przynęta mająca skłonić potencjalną ofiarę do pobrania szkodliwego oprogramowania.

Kampania nie została powiązana z żadnym znanym cybergangiem.

Chociaż ataki z wykorzystaniem UEFI dają atakującym szerokie możliwości, MosaicRegressor stanowi pierwszy publicznie znany przypadek wykorzystania przez cyberprzestępców szytego na miarę szkodliwego oprogramowania układowego. We wcześniejszych atakach zaobserwowanych na wolności legalne oprogramowanie wykorzystywane było niezgodnie z jego pierwotnym przeznaczeniem (np. LoJax). Zatem mamy tu do czynienia z pierwszym atakiem opartym na specjalnie stworzonym bootkicie UEFI. Pokazuje on, że w wyjątkowych okolicznościach cyberprzestępcy gotowi są włożyć wiele wysiłku, po to by ich szkodnik przez długi czas pozostał niewykryty na zaatakowanej maszynie. Nieustannie rozszerzają oni swój arsenał narzędzi i wykazują coraz większą kreatywność w zakresie sposobów atakowania ofiar. Podobne podejście powinni przyjąć producenci rozwiązań bezpieczeństwa, aby zyskać nad nimi przewagę. Na szczęście, łącząc naszą technologię ze znajomością obecnych oraz wcześniejszych kampanii wykorzystujących zainfekowane oprogramowanie układowe, możemy monitorować oraz informować o przyszłych atakach na takie cele - powiedział Mark Lechtik, starszy badacz ds. cyberbezpieczeństwa z Globalnego Zespołu ds. Badań i Analiz (GReAT) w firmie Kaspersky.

Szczegółowa analiza platformy MosaicRegressor oraz jej komponentów jest dostępna na stronie https://r.kaspersky.pl/e4mGr.

Szczegółowa prezentacja dotycząca platformy MosaicRegressor zostanie przedstawiona wraz z innymi odkryciami w dziedzinie cyberbezpieczeństwa podczas nadchodzącej konferencji online SAS@Home. Bezpłatnej rejestracji można dokonać na stronie https://kas.pr/tr59.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.

Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.