06.10.2020 | ЛК обнаружила целевую кампанию кибершпионажа с использованием UEFI буткита |
На данный момент это первый случай заражения UEFI при помощи специально разработанного для такого типа атак вредоносного ПО. UEFI (Unified Extensible Firmware Interface) загружается ещё до операционной системы и контролирует все процессы на «раннем старте». Отсюда и главная опасность, связанная с компрометацией этой среды: если внести изменения в код UEFI, можно получить полный контроль над компьютером. Например, изменить память, содержание диска или, как в случае с буткитом MosaicRegressor, заставить операционную систему запустить вредоносный файл. А поскольку речь идёт о низкоуровневой вредоносной программе, избавиться от неё не поможет ни замена жёсткого диска, ни переустановка ОС. «Этот файл представляет собой загрузчик, он связывается с сервером управления, собирает все недавние документы на компьютере, архивирует их и передаёт обратно на сервер. По сути, это просто шпионаж, — комментирует Игорь Кузнецов, ведущий эксперт по кибербезопасности в «Лаборатории Касперского». — Мы также нашли другие компоненты MosaicRegressor, которые предположительно сбрасываются с самого сервера управления, выполняют вредоносный код, а затем удаляются. Сейчас есть информация о двух жертвах буткита UEFI, а также нескольких жертвах кампании, столкнувшихся с целевым фишингом. Все они являются дипломатами либо членами НКО, а их деятельность связана с Северной Кореей». Атаки были обнаружены с помощью технологии Firmware Scanner. Она входит в состав продуктов «Лаборатории Касперского» с начала 2019 года и разработана специально для детектирования угроз, скрывающихся в микросхемах ROM BIOS, включая образы прошивок UEFI. В ходе исследования инфраструктуры MosaicRegressor «Лаборатория Касперского» также установила, что в основу компонентов буткита UEFI положен код Vector-EDK. Это специальный конструктор, который был создан кибергруппой Hacking Team и в том числе содержит инструкцию по созданию модуля для перепрошивки UEFI. В 2015 году этот и другие исходники Hacking Team в результате утечки оказались в свободном доступе, что позволило злоумышленникам создать собственное программное обеспечение с минимальными усилиями — они просто дополнили исходный код вредоносным компонентом. «Существуют разные методы заражения UEFI: если этот микрочип не был защищён должным образом, то с помощью специальной программы или даже легальных утилит для обновления UEFI можно запустить вредоносную версию прошивки. Есть ещё способ, предполагающий физический доступ к оборудованию, — добавляет Игорь Кузнецов. — Как бы то ни было, мы имеем дело с мощным, продвинутым инструментом для кибератак, далеко не каждому злоумышленнику под силу сделать такой. Однако с появлением готовых рабочих примеров возникает опасность переиспользования технологии, тем более что инструкции к ней по-прежнему может скачать любой. Этот инцидент демонстрирует, что злоумышленники становятся всё более креативными и постоянно совершенствуют свои техники. Наши решения и экспертный опыт позволяют отслеживать подобные атаки». |
Проверить безопасность сайта