Kaspersky ha annunciato la scoperta del secondo malware in grado di aggredire il contenuto del firmware della scheda madre e modificare il comportamento del BIOS UEFI: Che cos’è UEFI e quello che c’è da sapere sul nuovo BIOS.
Le indagini hanno evidenziato come il rootkit in questione, battezzato MosaicRegressor e appartenente al sottoinsieme dei bootkit firmware (proprio per la sua abilità nel modificare il codice di avvio conservato sulla scheda madre), sia stato utilizzato dal 2019 in avanti per prendere di mira e spiare obiettivi ben precisi, tra cui alcuni diplomatici e agenzie non governative.
Il fatto che il malware modifichi il contenuto del chip flash SPI saldato sulla motherboard permette agli aggressori di avere “pieni poteri” sul funzionamento del dispositivo altrui: l’infezione non può essere rimossa, ad esempio, con la sostituzione dell’hard disk, dell’unità SSD o con la completa reinstallazione del sistema operativo.
I ricercatori di Kaspersky Mark Lechtik and Igor Kuznetsov spiegano che MosaicRegressor poggia il suo funzionamento su un framework modulare e multilivello realizzato da un gruppo di criminali informatici cinesi per svolgere attività spionaggio oltre al furto di informazioni sensibili e dati riservati.
Anche se non è ancora noto il vettore esatto dell’infezione che ha permesso agli aggressori di sovrascrivere il firmware originale UEFI, i ricercatori di Kaspersky hanno elaborato le ipotesi più plausibili basandosi anche sulle informazioni trapelate a suo tempo in seguito all’attacco subìto dalla milanese Hacking Team: Hacking Team, come è stata attaccata.
Alcuni documenti di Hacking Team parlano del bootkit VectorEDK, sottratto proprio alla società nel 2015 e già utilizzato da un altro malware simile a MosaicRegressor ovvero LoJax, scoperto da ESET nel 2018: LoJax, scoperto il primo rootkit in grado di attaccare UEFI in modalità remota.
Nel caso di specie Kaspersky ipotizza che le infezioni sarebbero avvenute sfruttando l’accesso fisico ai PC delle vittime ma in molti casi sarebbero state sfruttati meccanismi basati sullo spear phishing ovvero inviando email mirate contenenti informazioni truffaldine concepite per ottenere la fiducia altrui.
La struttura a più moduli del framework ha permesso agli aggressori di nasconderne all’analisi le funzionalità più evolute e distribuire i meccanismi più avanzati per il monitoraggio e la sottrazione dei dati con un successivo download.
I tecnici di Kaspersky aggiungono che gli attacchi sono stati rilevati con l’aiuto di Firmware Scanner, tecnologia integrata a inizio 2019 nei prodotti per la sicurezza commercializzati dalla società. Tale tecnologia è stata sviluppata per rilevare in modo specifico le minacce che si nascondono nel BIOS/UEFI.
Tutti i dettagli tecnici sul funzionamento di MosaicRegressor sono pubblicati in questo documento PDF.