Недавно наши исследователи обнаружили сложную целевую атаку, направленную на дипломатические учреждения и общественные организации в Африке, Азии и Европе. Насколько они смогли определить, все жертвы так или иначе имели отношение к Северной Корее — будь то через какую-либо некоммерческую активность в этой стране или же через дипломатические связи.
В этой атаке злоумышленники использовали сложный модульный шпионский фреймворк, который мы назвали MosaicRegressor. В процессе расследования нам удалось выяснить, что в некоторых случаях вредоносное ПО попадало на компьютеры жертв способом, который крайне редко встречается «в дикой природе»: с помощью модифицированных UEFI. Впрочем, это был не единственный способ доставки вредоноса в ОС: в большинстве случаев атакующие применяли более традиционный метод — целевой фишинг.
Что такое UEFI и в чем опасность буткита
Если попробовать упростить, можно сказать, что UEFI (как и BIOS, которой UEFI пришла на смену) — это ПО, которое запускается при старте компьютера, еще до запуска самой операционной системы. При этом оно хранится не на жестком диске, а на отдельном чипе материнской платы. Если злоумышленникам удается модифицировать код UEFI, то они потенциально могут использовать его для доставки вредоносного программного обеспечения в систему жертвы.
В ходе описываемой кампании мы обнаружили именно такой случай. Причем для создания своих модифицированных прошивок UEFI злоумышленники использовали исходники утекшего в сеть буткита группы HackingTeam — VectorEDK. Несмотря на то, что в открытом доступе исходные коды оказались еще в 2015 году, мы до сих пор не видели свидетельств его использования злоумышленниками.
При запуске системы буткит размещает в папке автозагрузки системы вредоносный файл IntelUpdate.exe, который затем загружает и устанавливает на ПК компоненты MosaicRegressor. Учитывая «обособленность» UEFI, даже при обнаружении этого вредоносного файла избавиться от него практически невозможно. Не поможет ни его удаление, ни переустановка системы. Единственный способ решить проблему — перепрошивка материнской платы.
Чем опасен MosaicRegressor
Независимо от того, каким способом компоненты MosaicRegressor проникали на компьютер жертвы — через скомпрометированный UEFI или при помощи целевого фишинга, — они подключались к командным серверам, скачивали дополнительные модули и запускали их. Далее эти модули использовались для кражи информации. Например, один из них собирал недавно открытые документы, архивировал их и отправлял авторам атаки.
Для коммуникации с командными серверами применялись разнообразные механизмы: библиотека cURL (для работы через HTTP/HTTPS), интерфейс Background Intelligent Transfer Service (BITS), программный интерфейс WinHTTP, публичные почтовые сервисы по протоколу POP3S/SMTP/IMAPS.
Более подробный технический анализ вредоносного фреймворка MosaicRegressor вместе с индикаторами компрометации доступен на сайте Securelist.
Как защититься от MosaicRegressor
Чтобы не стать жертвой MosaicRegressor, в первую очередь, следует бороться с попытками целевого фишинга, ведь большая часть сложных атак начинается именно так. Для максимально эффективной защиты рабочих компьютеров мы бы рекомендовали совмещать защитные продукты с продвинутыми антифишинговыми технологиями, а также повышать осведомленность сотрудников об атаках такого типа.
Вредоносные модули, занимающиеся кражей информации, наши защитные решения успешно выявляют.
Что касается скомпрометированных прошивок, то мы, к сожалению, не знаем точно, каким образом буткит попадал на компьютеры жертв. Основываясь на данных из утечки HackingTeam, можно предположить, что для этого злоумышленникам требовался физический доступ к компьютеру жертвы. А именно — его загрузка с USB-носителя. Однако не исключено, что есть и другие методы компрометации UEFI.
Для защиты от UEFI-буткита MosaicRegressor у нас есть следующие рекомендации:
- От несанкционированной модификации прошивку компьютера защищает Intel Boot Guard — правда, далеко не все оборудование обладает поддержкой этой полезной функции (вы можете проверить это на сайте производителя своего компьютера или материнской платы).
- Использование шифрования диска (FDE) поможет предотвратить установку буткитом в операционную систему полезной нагрузки — вредоносных модулей, которые представляют непосредственную опасность.
- Также следует использовать надежные защитные решения, способные выявлять угрозы такого типа. Наши продукты с 2019 года умеют искать угрозы, скрывающиеся в ROM BIOS и в прошивках UEFI. Собственно, данная атака изначально была обнаружена при помощи ответственной за это технологии — Firmware Scanner.