Malware UEFI denominato MosaicRegressor trovato sui computer del governo
Questo malware basato su UEFI è il secondo del suo genere mai conosciuto pubblicamente.
I computer sono composti da più componenti - sia software che hardware, ciascuno con la propria complessità. Uno di questi componenti è l'Unified Extensible Firmware Interface (UEFI), che è il software installato sulla scheda madre di un computer.
Questo naturalmente gli garantisce l'accesso all'intero sistema come da impostazione predefinita e si avvia all'inizio quando un computer viene acceso. Tuttavia, essendo così importante, è altrettanto difficile che sia infettato da malware.
Nonostante ciò, un recente rapporto di Kaspersky suggerisce che è stato trovato un malware basato su UEFI - il secondo di questo tipo mai conosciuto pubblicamente.
Secondo i ricercatori, il malware si presenta sotto forma di "immagine del firmware UEFI compromessa" con un impianto che installa ulteriore malware sui dispositivi della vittima.
Trovato utilizzando Firmware Scanner; un prodotto di Kaspersky, il malware è stato collegato a un framework più ampio che è stato chiamato MosaicRegressor. I suoi obiettivi includevano diplomatici e membri di ONG in 3 continenti: Africa, Asia ed Europa dal 2017 al 2019.
I ricercatori ritengono che i responsabili della campagna di malware siano collegati alla Repubblica Democratica della Corea del Nord (RDPC). D'altra parte, però, alcune parti del malware indicano anche la possibilità che il colpevole possa essere un aggressore cinese.
Il malware UEFI denominato MosaicRegressor trovato su Diplomat Computers
Un esempio di screenshot mostra i contenuti relativi alla RPDC utilizzati dagli hacker contro le vittime di MosaicRegressor (Immagine: Kaspersky)
Inizialmente il malware è stato trovato sui sistemi informatici di 2 diplomatici con sede in Asia. Secondo i ricercatori, il malware funziona inserendo un file denominato "IntelUpdate.exe" nella cartella di avvio di Windows, che contiene fondamentalmente tutti i file che vengono eseguiti non appena un computer si avvia.
D'altra parte, se il suddetto eseguibile viene rimosso in qualche modo, il malware lo riscrive automaticamente mantenendo l'accesso di persistenza alla macchina della vittima. Una delle sue funzioni comprende il furto di documenti dal computer della vittima e la trasmissione tramite un server C2 attraverso l'uso di una libreria denominata "load.rem".
Tuttavia, non vi è alcuna conferma di come l'UEFI originale abbia manomesso la macchina. Pertanto, questo rimane un affare a dir poco speculativo. Una possibilità menzionata dai ricercatori, oltre a un attacco a distanza, è la seguente:
Una possibilità è l'accesso fisico alla macchina della vittima. Ciò potrebbe essere parzialmente basato sul materiale trapelato da Hacking Team, secondo il quale l'installazione del firmware infettato da VectorEDK richiede l'avvio della macchina bersaglio da una chiavetta USB. Tale USB conterrebbe una speciale utilità di aggiornamento che può essere generata con un costruttore designato fornito dall'azienda. Abbiamo trovato un'utilità di aggiornamento Q-flash nel firmware ispezionato, che avrebbe potuto essere utilizzata anche per tale scopo.
Il malware UEFI denominato MosaicRegressor trovato su Diplomat Computers
Un estratto della guida che i ricercatori ritengono possa essere stato seguito dagli aggressori per infettare le macchine delle vittime.
In conclusione, questo rimane un attacco raro nel mondo della sicurezza informatica e non sorprende che molte professioni si sarebbero trovate impreparate ad affrontarlo. Per il futuro, è importante rendersi conto che tali attacchi possono diventare più diffusi e quindi sono necessarie ulteriori ricerche per proteggerli.
spero che questo articolo vi sia piaciuto noi ci vediamo ad un prossimo articolo.
