Bootkit firmver: Control-Alt-Delete

Kaspersky

Istraživači kompanije Kaspersky otkrili su špijunsku kampanju naprednih upornih pretnji (APT) koja koristi veoma redak tip malvera poznat kao firmver bootkit. Novi malver je pronašla UEFI / BIOS tehnologija skeniranja koja detektuje poznate i nepoznate pretnje. Tehnologija skeniranja je identifikovala prethodno nepoznat malver unutar UEFI sistema, ključnog dela bilo kog modernog računarskog uređaja, koji otežava detektovanje i otklanjanje sa inficiranih uređaja. UEFI bootkit korišćen sa malverom predstavlja prilagođenu verziju bootkit-a Hacking Team grupe koji je procureo 2015. godine.

UEFI firmver predstavlja esencijalan deo računara, koji počinje da radi pre operativnog sistema i svih programa koji su u njemu instalirani. Ukoliko je UEFI firmver na neki način modifikovan tako da sadrži maliciozni kod, taj kod će biti pokrenut pre operativnog sistema, što će njegovu aktivnost učiniti potencijalno nevidljivom za bezbednosna rešenja. Ovo, kao i činjenica da se firmver nalazi na fleš čipu odvojenom od hard diska, napade na UEFI čini naročito dobro prikrivenim i upornim – infekcija firmvera u krajnjoj liniji znači da će, bez obzira na to koliko je puta operativni sistem ponovo instaliran, malver koga je bootkit postavio ostati na uređaju.

Istraživači kompanije Kaspersky pronašli su uzorak takvog malvera korišćenog u kampanji koja je razvila varijante složenog, višestepenog modularnog okvira poznatog kao MosaicRegressor. Okvir je korišćen za špijunažu i prikupljanje podataka, pri čemu je UEFI malver bio jedan od metoda koji je kod ovog prethodno nepoznatog malvera doprinosaio njegovoj upornosti.

Otkrivene komponente UEFI bootkit-a su u velikoj meri bazirane na ‘Vector-EDK’ bootkit-u koga je razvila grupa Hacking Team i čiji izvorni kod je procureo onlajn 2015. godine. Procureli kod je napadačima najverovatnije omogućio izgradnju njihovog sopstvenog softvera uz vrlo malo uloženog napora i smanjeni rizik od izloženosti.

Napadi su otkriveni uz pomoć Firmware Scanner tehnologije, koja je u proizvode kompanije Kaspersky uključena od početka 2019. godine. Ova tehnologija je razvijena kako bi detektovala pretnje koje se kriju u ROM BIOS softveru, uključujući UEFI firmver slike.

Mada nije bilo moguće detektovati tačan vektor infekcije koji je napadačima omogućio da prepišu originalni UEFI firmver, istraživači kompanije Kaspersky su došli do jedne od mogućnosti kako to može biti urađeno bazirano na onome što je poznato o VectorEDK bootkit-u iz procurelih dokumenata Hacking Team grupe. Oni, ne isključujući i druge opcije, ukazuju na to da je do infekcija moglo doći kroz fizički pristup uređaju žrtve, naročito uz korišćenje butabilnog USB ključa, koji bi sadržao specijalni program za ažuriranje. Zakrpljeni firmver potom omogućava instalaciju Trojan downloader malvera koji, nakon što je operativni sistem pokrenut i radi, omogućuje preuzimanje bilo kog sadržaja u skladu sa potrebama napadača.

U većini slučajeva, međutim, komponente MosaicRegressor okvira dostavljene su žrtvama korišćenjem znatno manje sofisticiranih mera, kao što je spirfišing isporuka dropper-a sakrivenog u arhivi zajedno sa fajlom varalicom. Višemodularna struktura okvira napadačima je omogućila da od analize sakriju širi okvir, i dostave komponente samo za targetiranje uređaja na zahtev. Malver koji je inicijalno instaliran na inficiranom uređaju je Trojan-downloader, program sposoban za preuzimanje dodatnih korisnih tereta i drugih malvera. U zavisnosti od preuzetog korisnog tereta, malver može da preuzme ili otpremi proizvoljne fajlove sa/na proizvoljne URL adrese i da prikupi informacije sa targetiranog uređaja.

Na osnovu karakteristika otkrivenih žrtvi, istraživači su uspeli da utvrde da je MosaicRegressor okvir korišćen u seriji targetiranih napada usmerenih na diplomate i članove NVO iz Afrike, Azije i Evrope. Neki od napada su uključivali spirfišing dokumenta na ruskom jeziku, dok su neki bili povezani sa Severnom Korejom i korišćeni kao mamac za preuzimanje malvera.

Kampanja nije pouzdano povezana ni sa jednim poznatim akterom naprednih upornih pretnji.

„Mada UEFI napadi akterima pretnji pružaju mnoštvo mogućnosti, MosaicRegressor je prvi javno poznati slučaj u kome je akter pretnji koristio po meri izrađen, maliciozni UEFI firmver “u divljini”. Prethodno poznati napadi “u divljini” jednostavno su ponovno upotrebljavali legitimni softver (na primer LoJax), što ovaj napad “u divljini” čini prvim koji se oslanja na po meri izrađen UEFI bootkit. Ovaj napad ukazuje na to da su, mada retko, u izuzetnim slučajevima akteri spremni da idu daleko kako bi dostigli maksimalnu upornost na uređaju žrtve. Akteri pretnji nastavljaju da diverzifikuju svoje setove alata i postaju sve kreativniji kada je reč o načinima na koje targetiraju žrtve – i to isto treba da rade i bezbednosni vendori, kako bi bili korak ispred napadača. Na sreću, kombinacija naše tehnologije i razumevanja sadašnjih i prošlih kampanja koje se oslanjaju na inficirani firmver, pomažu nam u nadgledanju i izveštavanju o budućim napadima na ovakve mete,” komentariše Mark Lečtik (Mark Lechtik), glavni bezbednosni istraživač tima za globalno istraživanje i analizu (GReAT) u kompaniji Kaspersky.

“Korišćenje procurelog izvornog koda treće strane i njegovo prilagođavanje na novi napredni malver predstavlja još jedan podsetnik na to koliko je bezbednost podataka značajna. Kada softver – bilo da se radi o bootkit-u, malveru ili nečemu drugom – procuri, akteri pretnji dobijaju značajnu prednost. Besplatno dostupni alati im pružaju mogućnost da unaprede i prilagode svoje setove alata uz manje napora i manje šansi da će biti otkriveni,” komentariše Igor Kuznecov (Igor Kuznetsov), glavni bezbednosni istraživač GReAT tima kompanije Kaspersky.

Kako biste se zaštitili od pretnji kao što je MosaicRegressor, kompanija Kaspersky predlaže:

  • Svom SOC timu omogućite pristup svim najnovijim podacima o pretnjama (TI). Kaspersky Threat Intelligence Portal predstavlja jedinstvenu tačku pristupa svim podacima o pretnjama kompanije, pružajući uvid u podatke o sajber napadima i uvide koje je kompanija Kaspersky prikupila tokom više od 20 godina.
  • Za detekciju, istraživanje i blagovremeno saniranje incidenata na nivou krajnje tačke, implementirajte EDR rešenja, kao što je Kaspersky Endpoint Detection and Response.
  • Svojim zaposlenima obezbedite obuku o osnovama sajberbezbednosne higijene, s obzirom na to da mnogi targetirani napadi otpočinju fišingom ili drugim tehnikama socijalnog inženjeringa.
  • Koristite sveobuhvatni proizvod za zaštitu krajnje tačke koji može da detektuje upotrebu firmvera, kao što je Kaspersky Endpoint Security for Business.
  • Redovno ažurirajte vaš UEFI firmver i to samo firmver pouzdanih vendora.