I ricercatori Kaspersky hanno identificato una campagna malevola di cyber spionaggio soprannominata MosaicRegressor che rappresenta il primo caso di infezione dei BIOS UEFI (Unified Extensible Firmware Interface) mediante un malware finora sconosciuto in grado di nascondersi ai sistemi di controllo antivirali e garantirsi una forte persistenza nei sistemi infetti.
Secondo i ricercatori, dietro MosaicRegressor si nasconde un complesso framework malevolo multi-stage che, a quanto pare, è stato già utilizzato per portare a termine attacchi mirati al furto di dati riservati compiuti ai danni di diplomatici e membri di una ONG provenienti da Africa, Asia ed Europa.
I campioni del malware isolati finora, inoltre, mostrano tutti legami con la Corea del Nord, mentre alcuni frammenti di codice dei componenti del framework e i server di C&C (comando e controllo) usati durante la campagna malevola suggeriscono che dietro questi attacchi ci sia un attore di lingua cinese che potrebbe avere collegamenti con gruppi che utilizzano la backdoor Winnti.
La campagna malevola, comunque, non è stata al momento collegata con certezza a nessuno dei threat actor APT conosciuti.
Indice degli argomenti
MosaicRegressor: ecco perché è una minaccia subdola
La Unified Extensible Firmware Interface (UEFI), come il nome stesso lascia intuire, è un’interfaccia tra il firmware della scheda madre di un computer e il sistema operativo e dal 2010 ha ormai sostituito il tradizionale BIOS. Si tratta, dunque, di una componente software essenziale dei moderni sistemi che viene caricata e inizia a funzionare prima ancora del sistema operativo e di tutti i programmi installati sul PC.
È evidente che se il firmware UEFI viene in qualche modo modificato iniettando al suo interno codice dannoso, questo stesso codice verrà lanciato prima del sistema operativo, rendendo la sua attività potenzialmente invisibile alle soluzioni di sicurezza.
Inoltre, questa particolarità unita al fatto che il firmware stesso risiede su una memoria flash separata dal disco rigido, rende gli attacchi contro UEFI difficili da rilevare e particolarmente persistenti: in seguito ad un’infezione del firmware UEFI, infatti, il malware impiantato dal bootkit rimarrà attivo sul dispositivo anche se il sistema operativo viene reinstallato.
Gli stessi ricercatori Kaspersky hanno inoltre rilevato che i componenti malevoli del bootkit UEFI risultano essere basati sul bootkit Vector-EDK sviluppato dal famigerato Hacking Team e il cui codice sorgente è apparso in rete nel 2015. La disponibilità di questo codice ha probabilmente permesso ai criminal hacker di “costruire” il proprio malware senza grandi sforzi e con un rischio di esposizione ridotto.
MosaicRegressor: i dettagli del malware
Al momento, i ricercatori non sono ancora riusciti a individuare con certezza il vettore esatto dell’infezione che ha permesso agli aggressori di sovrascrivere il firmware originale UEFI.
Tuttavia, sulla base di alcune informazioni trapelate da documenti di Hacking Team relativi al bootkit VectorEDK e senza escludere altre opzioni, è possibile supporre che le infezioni dei sistemi target potrebbero essere state possibili attraverso l’accesso fisico alle macchine delle vittime, probabilmente mediante una chiavetta USB avviabile contente una speciale utility di aggiornamento del firmware.
In realtà, collegando la pendrive al computer non si fa altro che installare un trojan downloader utilizzato poi per scaricare qualsiasi payload adatto alle esigenze dell’aggressore mentre il sistema operativo è attivo e funzionante. A seconda del payload scaricato, il malware potrebbe caricare o fare il download di file arbitrari da/verso URL arbitrari e raccogliere informazioni dalla macchina presa di mira.
In altri casi, invece, i componenti malevoli di MosaicRegressor sono stati consegnati alle vittime mediante campagne mirate di spear phishing condotte mediante e-mail contenenti un file esca.
Come difendersi
“Sebbene gli attacchi UEFI presentino ampie opportunità per i theat actor, MosaicRegressor è il primo caso pubblicamente noto in cui un threat actor abbia utilizzato un firmware UEFI malevolo personalizzato in the wild. Gli attacchi precedentemente osservati in the wild avevano semplicemente riprogrammato un software legittimo (ad esempio LoJax), il che rende questo attacco in the wild il primo a sfruttare un bootkit UEFI personalizzato. Quanto rilevato dimostra che, anche se raramente e in casi eccezionali, gli attori sono disposti a fare di tutto per ottenere il massimo livello di persistenza sulla macchina di una vittima. I threat actor continuano a diversificare il loro toolset e a diventare sempre più creativi nei metodi scelti per prendere di mira le vittime. Lo stesso dovrebbero fare i fornitori di sicurezza per mantenere il vantaggio sui criminali informatici. Fortunatamente, la combinazione della nostra tecnologia e la conoscenza delle campagne attuali e passate che sfruttano firmware infetti ci aiuta a monitorare e riferire di futuri attacchi contro questi obiettivi”, ha commentato Mark Lechtik, senior security researcher del Global Research and Analysis Team (GReAT) di Kaspersky.
Secondo Igor Kuznetsov, principal security researcher at Kaspersky’s GReAT, invece, “l’utilizzo di un codice sorgente di terze parti trapelato e la sua personalizzazione in un nuovo malware avanzato ricorda nuovamente l’importanza della sicurezza dei dati. Una volta che il software – che si tratti di un bootkit, di un malware o di qualsiasi altra cosa – viene diffuso, i threat actor ottengono un vantaggio significativo. Gli strumenti resi disponibili senza limiti offrono loro l’opportunità di migliorare e personalizzare i loro toolset con pochi sforzi e minori possibilità di essere scoperti”.
Per difendersi da MosaicRegressor e da altre minacce simili, gli stessi ricercatori Kaspersky raccomandano di:
- fornire al team SOC l’accesso alla threat intelligence (TI) più aggiornata;
- implementare soluzioni EDR per la detection a livello endpoint, l’indagine e la remediation degli incidenti;
- fornire ai dipendenti una formazione di base sulla cyber hygiene, poiché molti attacchi mirati iniziano sfruttando strategie di phishing o altre tecniche di ingegneria sociale;
- utilizzare software per la sicurezza degli endpoint in grado di rilevare l’uso del firmware.
- aggiornare regolarmente il firmware UEFI e utilizzare solo firmware di fornitori fidati.
