Μια κινεζική ομάδα hacking έχει παρατηρηθεί ότι χρησιμοποιεί ένα bootkit UEFI για να κάνει λήψη και εγκατάσταση επιπλέον malware σε υπολογιστές που έχει στοχεύσει.
Το firmware UEFI είναι ένα κρίσιμο component για κάθε υπολογιστή. Αυτό το κρίσιμο firmware μέσα σε μια μνήμη flash “βιδώνεται” στη μητρική πλακέτα και ελέγχει όλα τα components του hardware του υπολογιστή και βοηθά στην εκκίνηση του πραγματικού λειτουργικού συστήματος (όπως Windows, Linux, macOS κ.λπ.).
Οι επιθέσεις στο firmware του UEFI είναι ο στόχος κάθε ομάδας hacking, καθώς η εισαγωγή κακόβουλου κώδικα εδώ επιτρέπει την επιβίωση της επανεγκατάστασης του λειτουργικού συστήματος.
Ωστόσο, παρά αυτά τα οφέλη, οι επιθέσεις στα firmware UEFI είναι σπάνιες επειδή η παραβίαση αυτού του component είναι ιδιαίτερα δύσκολη, καθώς οι εισβολείς είτε χρειάζονται φυσική πρόσβαση στη συσκευή είτε πρέπει να θέσουν σε κίνδυνο στόχους μέσω πολύπλοκων επιθέσεων αλυσίδας εφοδιασμού, όπου το firmware UEFI ή εργαλεία που λειτουργούν με το firmware UEFI τροποποιούνται για να εισάγουν κακόβουλο κώδικα.
Σε μια ομιλία στο συνέδριο εικονικής ασφάλειας SAS, οι ερευνητές ασφαλείας της Kaspersky δήλωσαν ότι εντόπισαν τη δεύτερη γνωστή περίπτωση μιας εκτεταμένης επίθεσης που οδηγεί σε κακόβουλο κώδικα που εμφυτεύεται στο UEFI.
Η πρώτη, που αποκαλύφθηκε από την ESET το 2018, υποτίθεται ότι πραγματοποιήθηκε από την Fancy Bear, μια από τις κρατικά χρηματοδοτούμενες ομάδες της Ρωσίας. Η δεύτερη είναι έργο Κινέζων χάκερ, αναφέρει η Kaspersky.
Η εταιρεία είπε ότι ανακάλυψε αυτές τις επιθέσεις αφού δύο υπολογιστές επισημάνθηκαν από την ενότητα Firmware Scanner της εταιρείας ως ύποπτοι.
Στην ομιλία τους σήμερα, οι ερευνητές της Kaspersky, Mark Lechtik και Igor Kuznetsov, δήλωσαν ότι διερεύνησαν τα επισημασμένα συστήματα και βρήκαν κακόβουλο κώδικα μέσα στο firmware UEFI. Αυτός ο κώδικας, όπως είπαν, σχεδιάστηκε για την εγκατάσταση μιας κακόβουλης εφαρμογής (ως πρόγραμμα αυτόματης εκτέλεσης) μετά από κάθε εκκίνηση του υπολογιστή.
Αυτό το αρχικό πρόγραμμα αυτόματης εκτέλεσης λειτούργησε ως πρόγραμμα λήψης για άλλα malware components, τα οποία η Kaspersky ονόμασε ως πλαίσιο του κακόβουλου λογισμικού MosaicRegressor.
Η Kaspersky είπε ότι δεν έχει ακόμη αποκτήσει και αναλύσει όλα τα components του MosaicRegressor, αλλά αυτά που εξέτασαν περιείχαν λειτουργικότητα για τη συλλογή όλων των εγγράφων από το φάκελο “Recent Documents” και την τοποθέτησή τους σε ένα αρχείο που προστατεύοταν με κωδικό πρόσβασης – πιθανότατα προετοίμαζε τα αρχεία για exfiltration μέσω άλλου component.
Οι ερευνητές δήλωσαν ότι βρήκαν το bootkit του UEFI σε δύο μόνο συστήματα, αλλά βρήκαν τα components του MosaicRegressor σε πολλούς άλλους υπολογιστές.
Ωστόσο, όλοι οι στόχοι αυτών των επιθέσεων επιλέχθηκαν προσεκτικά. Όλες ήταν διπλωματικές οντότητες και ΜΚΟ στην Αφρική, την Ασία και την Ευρώπη.
Αλλά η Kasperksy έκανε άλλη μια σημαντική ανακάλυψη κατά την ανάλυση αυτών των επιθέσεων. Ο κακόβουλος κώδικας του UEFI δεν ήταν καινούριος. Σύμφωνα με την ανάλυσή τους, ο κώδικας βασίστηκε στο VectorEDK, το οποίο είναι ένα βοηθητικό πρόγραμμα hacking για επιθέσεις σε «UEFI firmware», το οποίο δημιουργήθηκε από την Ιταλική “HackingTeam”.
