Los investigadores de Kaspersky descubrieron una campaña de espionaje APT (Amenaza Persistente Avanzada) que utiliza un malware muy pocas veces visto, conocido como firmware bootkit. Este nuevo malware fue detectado por la tecnología de escaneo UEFI/BIOS de Kaspersky, la cual detecta amenazas conocidas y desconocidas. La tecnología de escaneo identificó un malware previamente desconocido en la Interfaz de firmware extensible unificada (UEFI, por sus siglas en inglés), una parte esencial de cualquier dispositivo informático moderno, lo que hace que sea muy difícil de detectar y eliminar de los dispositivos infectados. El bookit de UEFI utilizado con el malware es una versión adaptada del bootkit de Hacking Team, que se filtró en 2015.
El firmware de UEFI es una parte esencial de la computadora, la cual se pone en marcha antes que el sistema operativo y todos los programas instalados en él. Si el firmware UEFI se modifica de alguna manera para que contenga código malicioso, ese código se iniciará antes que el sistema operativo y esto hará que su actividad sea potencialmente invisible para las soluciones de seguridad. Esto, y el hecho de que el firmware en sí reside en un chip flash separado del disco duro, hace que los ataques contra UEFI sean excepcionalmente evasivos y persistentes; la infección del firmware significa esencialmente que, independientemente de cuántas veces se haya reinstalado el sistema operativo, el malware plantado por el bootkit permanecerá en el dispositivo.
Los investigadores de Kaspersky encontraron que una muestra de dicho malware se utilizó en una campaña que había instalado variantes de un compleja infraestructura modular de varias etapas denominada MosaicRegressor. Esta infraestructura se utilizó para el espionaje y la recopilación de datos, y el malware UEFI era uno de los métodos de persistencia para este nuevo malware previamente desconocido.
Los componentes del bootkit de UEFI que fueron revelados se basaban en gran medida en el bootkit ‘Vector-EDK’ desarrollado por Hacking Team, cuyo código fuente se había filtrado en línea en 2015. El código filtrado probablemente permitió a los perpetradores crear su propio software con poco esfuerzo de programación y menor riesgo de quedar expuestos.
Los ataques fueron detectados con la ayuda de Firmware Scanner, que viene incluido en los productos de Kaspersky desde principios de 2019. Esta tecnología se desarrolló para detectar específicamente las amenazas que se esconden en el ROM BIOS, incluso imágenes del firmware UEFI.
Aunque no fue posible detectar el vector de infección exacto que permitió a los atacantes sobrescribir el firmware UEFI original, los investigadores de Kaspersky dedujeron una opción de cómo se podría hacer basándose en lo que se sabe sobre VectorEDK de los documentos filtrados del Hacking Team. Estos sugieren, sin excluir otras opciones, que las infecciones podrían haber sido posibles a través del acceso físico a la máquina de la víctima, específicamente con una llave USB apta para el arranque, que contendría un utensilio especial de actualización. Con esta adaptación, el firmware facilitaría la instalación de un descargador de troyanos, un malware que permite descargar cualquier carga útil adecuada para las necesidades del atacante cuando el sistema operativo está en funcionamiento.
Sin embargo, en la mayoría de los casos, los componentes de MosaicRegressor se entregaron a las víctimas utilizando medidas mucho menos complejas, como la entrega de un troyano droppper oculto en un registro junto con un archivo señuelo mediante la suplantación de identidad. La estructura multimodular de la infraestructura permitió a los atacantes ocultar del escaneo ese marco más amplio e implementar componentes en las máquinas objetivo solo por pedido. El malware instalado inicialmente en el dispositivo infectado es un descargador de troyanos, un programa que puede descargar cargas útiles adicionales y otros programas nocivos. De acuerdo con la carga útil descargada, el malware podría descargar o cargar archivos arbitrarios desde o hacia URL arbitrarias y recopilar información de la máquina objetivo.
Basándose en la afiliación de las víctimas descubiertas, los investigadores pudieron determinar que MosaicRegressor se utilizó en una serie de ataques dirigidos contra diplomáticos y miembros de ONGs de África, Asia y Europa. Algunos de los ataques incluían documentos de spearphishing en ruso, mientras que otros estaban relacionados con Corea del Norte y se utilizaron como señuelo para descargar malware.
La campaña no se ha vinculado a ningún agente conocido de amenazas persistentes avanzadas.
“Aunque los ataques UEFI presentan amplias oportunidades para los agentes de amenazas, MosaicRegressor es el primer caso conocido públicamente en el que un agente de amenazas usó un firmware UEFI malicioso personalizado y que se propaga libremente. Los ataques anteriormente conocidos observados en propagación libre simplemente reutilizaban software legítimo (por ejemplo, LoJax), lo que convierte a este en el primer ataque en propagación libre que se vale de un bootkit UEFI hecho a la medida. Este ataque demuestra que, aunque ocurre raramente, en casos excepcionales los agentes están dispuestos a hacer todo lo posible para obtener el mayor nivel de persistencia en la máquina de la víctima. Los agentes de amenazas continúan diversificando sus conjuntos de herramientas y se vuelven cada vez más creativos con las formas en que atacan a las víctimas, y lo mismo deben hacer los proveedores de seguridad para mantenerse preparados contra ellos. Afortunadamente, la combinación de nuestra tecnología y el conocimiento de las campañas actuales y pasadas que se valen del firmware infectado nos ayudan a monitorear e informar sobre futuros ataques contra esos objetivos”, comenta Mark Lechtik, investigador sénior de seguridad del Equipo de Análisis e Investigación Global (GReAT) en Kaspersky.
“El uso del código fuente filtrado de terceros y su adaptación a un nuevo malware avanzado, recuerdan una vez más la importancia de la seguridad de los datos. Cuando se filtra software, ya sea un bootkit, malware o algo similar, los agentes de amenazas obtienen una ventaja considerable. Las herramientas de libre acceso les brindan la oportunidad de mejorar y adaptar sus conjuntos de herramientas con menos esfuerzo y menos posibilidades de ser detectados”, comenta Igor Kuznetsov, investigador principal de seguridad en GReAT de Kaspersky.
Para mantenerse protegido contra amenazas como MosaicRegressor, Kaspersky recomienda:
- Proporcione a su equipo de SOC acceso a la inteligencia de amenazas más reciente. El Kaspersky Threat Intelligence Portal es un punto de acceso único para el equipo de TI de la empresa, y proporciona información y conocimientos sobre ciberataques recopilados por Kaspersky durante más de 20 años.
- Para la detección, investigación, y la corrección oportuna de incidentes a nivel de endpoints, implemente soluciones EDR, como Kaspersky Endpoint Detection and Response.
- Brinde a su personal capacitación básica sobre higiene en ciberseguridad, ya que muchos ataques dirigidos comienzan con phishing u otras técnicas de ingeniería social.
- Utilice un producto robusto de seguridad en endpoints que pueda detectar el uso de firmware, como Kaspersky Endpoint Security for Business.
- Actualice periódicamente su firmware UEFI y solo compre firmware de proveedores de confianza.
El análisis detallado de MosaicRegressor y sus componentes está disponible en Securelist.