Касперский обнаруживает второе в истории вредоносное ПО, способное атаковать и изменять UEFI BIOS.

Оформление заказа

Используется для атаки на некоторые чувствительные цели, включая компьютеры дипломатов и некоторых неправительственных организаций. Атака опасна, поскольку позволяет киберпреступникам полностью овладеть системой, не позволяя при этом удалить инфекцию.

07.10.2020

Лаборатория Касперского объявила об обнаружении второго вредоносного ПО, которое может атаковать содержимое прошивки материнской платы и изменять поведение UEFI BIOS.
Исследования показали, как рассматриваемый руткит, получивший название MosaicRegressor и принадлежащий к подмножеству буткитов прошивки (именно из-за его способности изменять загрузочный код, хранящийся на материнской плате), использовался с 2019 года для нацеливания и шпионажа очень конкретные цели, включая некоторых дипломатов и неправительственные организации.

Дело в том, что зловред изменяет содержимое микросхемы флэш-памяти SPI, припаянной к материнской платепозволяет злоумышленникам иметь «полную власть» над работой чужих устройств : заражение невозможно удалить, например, заменой жесткого диска, SSD или полной переустановкой операционной системы.
Исследователи «Лаборатории Касперского» Марк Лечтик и Игорь Кузнецов объясняют, что MosaicRegressor использует модульную многоуровневую структуру , созданную группой китайских киберпреступников для осуществления шпионской деятельности, помимо кражи конфиденциальной информации и конфиденциальных данных.

Хотя точный вектор заражения, позволивший злоумышленникам перезаписать исходную прошивку UEFI, еще не известен, исследователи «Лаборатории Касперского» разработали наиболее правдоподобные гипотезы, также основанные на информации, просочившейся во время атаки, от которой пострадали миланцы.
В некоторых документах Hacking Team говорится о бутките VectorEDK , украденном у компании в 2015 году и уже используемом другим вредоносным ПО, аналогичным MosaicRegressor или LoJax , обнаруженным ESET в 2018 году.

В данном случае Касперский предполагает, что заражение могло произойти путем использования физического доступа к компьютерам жертв, но во многих случаях были использованы механизмы, основанные на целевом фишинге , или путем рассылки целевых электронных писем, содержащих мошенническую информацию, предназначенную для завоевания доверия других.

Многомодульная структура фреймворка позволила злоумышленникам скрыть от анализа самые продвинутые функции и развернуть самые продвинутые механизмы мониторинга и кражи данных с последующей загрузкой.

Специалисты «Лаборатории Касперского» добавляют, что атаки были обнаружены с помощью Firmware Scanner - технологии, интегрированной в начале 2019 года в продукты безопасности, продаваемые компанией . Эта технология была разработана специально для обнаружения угроз, скрывающихся в BIOS / UEFI.