Мозаика регресса: обнаружено новое вредоносное ПО для заражения компьютера на низком уровне

14 октября 2020
Компания Kaspersky обнаружила целевую кампанию кибершпионажа с использованием сложной модульной структуры MosaicRegressor, куда в том числе входит буткит для встроенной в материнскую плату микропрограммы UEFI. На данный момент это первый случай заражения UEFI при помощи специально разработанного для такого типа атак вредоносного ПО.

UEFI (Unified Extensible Firmware Interface) загружается ещё до операционной системы и контролирует все процессы на «раннем старте». Отсюда и главная опасность, связанная с компрометацией этой среды: если внести изменения в код UEFI, можно получить полный контроль над компьютером. Например, изменить память, содержание диска или, как в случае с буткитом MosaicRegressor, заставить операционную систему запустить вредоносный файл. А поскольку речь идёт о низкоуровневой вредоносной программе, избавиться от неё не поможет ни замена жёсткого диска, ни переустановка ОС.

«Этот файл представляет собой загрузчик, он связывается с сервером управления, собирает все недавние документы на компьютере, архивирует их и передаёт обратно на сервер. По сути, это просто шпионаж, — комментирует Игорь Кузнецов, ведущий эксперт по кибербезопасности в Kaspersky. — Мы также нашли другие компоненты MosaicRegressor, которые предположительно сбрасываются с самого сервера управления, выполняют вредоносный код, а затем удаляются. Сейчас есть информация о двух жертвах буткита UEFI, а также нескольких жертвах кампании, столкнувшихся с целевым фишингом. Все они являются дипломатами либо членами НКО, а их деятельность связана с Северной Кореей».

Атаки были обнаружены с помощью технологии Firmware Scanner. Она входит в состав продуктов Kaspersky с начала 2019 года и разработана специально для детектирования угроз, скрывающихся в микросхемах ROM BIOS, включая образы прошивок UEFI. 


Firmware Scanner входит в состав продуктов Kaspersky с начала 2019 года.

В ходе исследования инфраструктуры MosaicRegressor Kaspersky также установила, что в основу компонентов буткита UEFI положен код Vector-EDK. Это специальный конструктор, который был создан кибергруппой Hacking Team и в том числе содержит инструкцию по созданию модуля для перепрошивки UEFI. В 2015 году этот и другие исходники Hacking Team в результате утечки оказались в свободном доступе, что позволило злоумышленникам создать собственное программное обеспечение с минимальными усилиями — они просто дополнили исходный код вредоносным компонентом. 

«Существуют разные методы заражения UEFI: если этот микрочип не был защищён должным образом, то с помощью специальной программы или даже легальных утилит для обновления UEFI можно запустить вредоносную версию прошивки. Есть ещё способ, предполагающий физический доступ к оборудованию, — добавляет Игорь Кузнецов. — Как бы то ни было, мы имеем дело с мощным, продвинутым инструментом для кибератак, далеко не каждому злоумышленнику под силу сделать такой. Однако с появлением готовых рабочих примеров возникает опасность переиспользования технологии, тем более что инструкции к ней по-прежнему может скачать любой. Этот инцидент демонстрирует, что злоумышленники становятся всё более креативными и постоянно совершенствуют свои техники. Наши решения и экспертный опыт позволяют отслеживать подобные атаки».

Презентация о MosaicRegressor была показана на SAS@Home, ее запись вы можете посмотреть ниже.

 


Подробнее об инструментах MosaicRegressor можно почитать здесь: https://securelist.com/mosaicregressor/98849/.

О Kaspersky
Kaspersky — международная компания, работающая в сфере информационной безопасности с 1997 года. Глубокие экспертные знания и многолетний опыт компании лежат в основе защитных решений и сервисов нового поколения, обеспечивающих безопасность бизнеса, критически важной инфраструктуры, государственных органов и рядовых пользователей. Обширное портфолио Kaspersky включает в себя передовые продукты для защиты конечных устройств, а также ряд специализированных решений и сервисов для борьбы со сложными и постоянно эволюционирующими киберугрозами. Технологии Kaspersky защищают более 400 миллионов пользователей и 250 тысяч корпоративных клиентов во всём мире.