«Лаборатория Касперского» обнаружила целевую кампанию кибершпионажа с использованием сложной модульной структуры MosaicRegressor, куда в числе прочего входит буткит для встроенной в материнскую плату микропрограммы UEFI (Unified Extensible Firmware Interface). Как считают эксперты, на данный момент это первый случай заражения UEFI при помощи специально разработанного для такого типа атак вредоносного ПО.

UEFI загружается еще до ОС и контролирует все процессы на «раннем старте». Отсюда, поясняют эксперты, вытекает и главная опасность, связанная с компрометацией этой среды: если внести изменения в код UEFI, можно получить полный контроль над компьютером – изменить память, содержание диска или, как в случае с буткитом MosaicRegressor, заставить ОС запустить вредоносный файл. А поскольку речь идет о низкоуровневой вредоносной программе, избавиться от нее не поможет ни замена жесткого диска, ни переустановка ОС.

Как комментируют в «Лаборатории Касперского», вредоносный файл представляет собой загрузчик, который связывается с сервером управления, собирает все недавние документы на компьютере, архивирует их и передает обратно на сервер. Эксперты также нашли другие компоненты MosaicRegressor, которые, предположительно, сбрасываются с самого сервера управления, выполняют вредоносную нагрузку, а затем удаляются. Сейчас есть информация о двух жертвах буткита UEFI, а также о нескольких жертвах кампании, столкнувшихся с целевым фишингом. Все они являются дипломатами либо членами НКО, а их деятельность связана с Северной Кореей.

Атаки были обнаружены с помощью технологии «Лаборатории Касперского» Firmware Scanner, входящей в состав продуктов компании с начала 2019 г. Эта технология разработана специально для детектирования угроз, скрывающихся в микросхемах ROM BIOS, включая образы прошивок UEFI.

В ходе исследования инфраструктуры MosaicRegressor «Лаборатория Касперского» также установила, что в основу компонентов буткита UEFI положен код Vector-EDK –специальный конструктор, который был создан кибергруппой Hacking Team и в том числе содержит инструкцию по созданию модуля для перепрошивки UEFI. В 2015 г. эти и другие исходники Hacking Team в результате утечки оказались в свободном доступе, что позволило злоумышленникам создать собственное ПО с минимальными усилиями: они просто дополнили исходный код вредоносным компонентом.

Как считают в «Лаборатории Касперского», новое ПО – это мощный, продвинутый инструментом для кибератак, который под силу сделать далеко не каждому злоумышленнику. Однако с появлением готовых рабочих примеров возникает опасность повторного использования технологии, тем более что инструкции к ней по-прежнему может скачать любой. Этот инцидент демонстрирует, что злоумышленники становятся все более креативными и постоянно совершенствуют свои техники.