Segundo rootkit UEFI usado em ataques temáticos da Coreia do Norte

Views: 321
0 0
Read Time:3 Minute, 13 Second

Um ator de ameaças ligado à China usou malware UEFI baseado no código do Hacking Team em ataques direcionados a organizações com interesse na Coreia do Norte.

Pesquisadores da Kaspersky detectaram um malware da UEFI que estava envolvido em ataques a organizações com interesse na Coreia do Norte.

Os especialistas estavam investigando várias imagens suspeitas de firmware da UEFI quando descobriram quatro componentes, alguns dos quais estavam emprestando o código fonte de um spyware da Equipe de Hackers.

Em 2015, o hacker que violou os sistemas da empresa de vigilância italiana Hacking Team vazou um pacote de 400GB contendo ferramentas de hackers e explora códigos. O arquivo incluiu uma série de explorações de zero-day para o Adobe Flash Player e o Microsoft IE, esses códigos são apenas parte do arsenal de hackers da empresa de vigilância, que desenvolveu o popular spyware do Remote Control System (RCS),também conhecido como Galileo. O RCS possui uma estrutura modular que permite comprometer vários alvos carregando as explorações necessárias para zero-day.

A Trend Micro foi a primeira empresa de segurança a descobrir a disponibilidade de um rootkit UEFI BIOS no arsenal da Equipe de Hackers que permitiu que o spyware da empresa garantisse a persistência mesmo que as vítimas tivessem formatado seu disco rígido para reinstalar o Sistema Operacional.

“A Equipe de Hackers usa um rootkit do UEFI BIOS para manter seu agente do Sistema de Controle Remoto (RCS) instalado nos sistemas de seus alvos. Isso significa que, mesmo que o usuário formava o disco rígido, reinstale o SISTEMA OPERACIONAL e até compre um novo disco rígido, os agentes são implantados após o Microsoft Windows estar funcionando. “, afirmou a Trend Micro.

O malware de firmware é baseado no código associado ao bootkit VectorEDK do HackingTeam, com pequenas alterações.

Especialistas revelaram que não foram capazes de determinar o vetor exato da infecção que permitiu que os atacantes substituíssem o firmware uefi original.

Especialistas especulam que os atores de ameaça precisam ter acesso físico para implantar o implante na máquina da vítima. No entanto, os pesquisadores não excluem que um firmware desonesto foi empurrado remotamente através de um ataque na cadeia de suprimentos.

“É claro que não podemos excluir outras possibilidades pelas quais o firmware desonesto foi empurrado remotamente, talvez através de um mecanismo de atualização comprometido. Tal cenário normalmente exigiria a exploração de vulnerabilidades no processo de autenticação de atualização do BIOS. Embora isso possa ser o caso, não temos nenhuma evidência para apoiá-lo”, lê-se na análise publicada pela Kaspersky.

O implante UEFI detectado pela Kaspersky foi usado para implantar um novo pedaço de malware que especialistas classificaram como uma variante derivada de uma estrutura mais ampla que eles rastrearam como MosaicRegressor.

A estrutura mosaicoregressor foi desenvolvida para fins de espionagem cibernética, sua arquitetura modular permite que os operadores realizem múltiplas ações.

Pesquisadores da Kaspersky revelaram ter encontrado componentes do MosaicRegressor em várias dezenas de entidades entre 2017 e 2019. A lista de vítimas incluía ONGs e entidades diplomáticas na Ásia, África e Europa.

Pesquisadores especulam que os atores de ameaças por trás desses ataques estão ligados ao APT winnti.

“Os ataques descritos neste post de blog demonstram o comprimento que um ator pode percorrer para obter o mais alto nível de persistência em uma máquina de vítimas. É altamente incomum ver o firmware UEFI comprometido na natureza, geralmente devido à baixa visibilidade aos ataques ao firmware, às medidas avançadas necessárias para implantá-lo no chip flash SPI de um alvo e às altas apostas de queima de ferramentas ou ativos sensíveis ao fazê-lo”, conclui o relatório.

“Com isso em mente, vemos que a UEFI continua a ser um ponto de interesse para os atores da APT, enquanto em geral é negligenciada pelos fornecedores de segurança.”

FONTE: SECURITY AFFAIRS

POSTS RELACIONADOS