I ricercatori di Kaspersky hanno scoperto recentemente un sofisticato attacco mirato contro istituzioni diplomatiche e ONG in Asia, Europa e Africa. Tutte le vittime erano collegate alla Corea del Nord in un modo o nell’altro, sia attraverso attività no-profit, sia attraverso legami diplomatici. I cybercriminali hanno utilizzato un sofisticato framework modulare di cyberspionaggio che i ricercatori hanno ribattezzato MosaicRegressor. In alcuni casi il malware è entrato nei computer delle vittime attraverso UEFI modificati, un evento estremamente raro nell’ambiente in the wild. Tuttavia, nella maggior parte dei casi, i criminali informatici si sono serviti del più tradizionale spear phishing.

UEFI, come il BIOS che sostituisce, è un software che si attiva all’avvio del computer e ancor prima dell’avvio del sistema operativo. Inoltre, non è memorizzato sul disco rigido, ma su un chip della scheda madre. Se i criminali informatici modificano il codice UEFI, potrebbero utilizzarlo per inviare malware al sistema della vittima.

Questo è esattamente ciò che i ricercatori di Kaspersky hanno trovato. Inoltre, nel creare il firmware UEFI modificato, i criminali informatici hanno utilizzato il codice sorgente di VectorEDK, un bootkit di Hacking Team pubblicato online. Sebbene il codice sorgente sia disponibile già dal 2015, questa è la prima prova del suo utilizzo da parte dei cybercriminali.

Quando il sistema si apre, il bootkit posiziona il file dannoso IntelUpdate.exe nella cartella di avvio del sistema. Il file eseguibile scarica e installa un altro componente di MosaicRegressor sul computer. Data la relativa singolarità di UEFI, anche se questo file dannoso viene rilevato, è quasi impossibile da rimuovere. Né la sua eliminazione né la reinstallazione del sistema operativo sono di aiuto. L’unico modo per risolvere il problema è aggiornare la scheda madre.

MosaicRegressor

Quanto è pericoloso MosaicRegressor?

I componenti di MosaicRegressor che si sono insinuati nei computer delle vittime (attraverso un UEFI compromesso o mediante phishing mirato) si sono collegati ai server C&C, hanno scaricato moduli aggiuntivi e li hanno fatti funzionare. Successivamente, questi moduli sono stati utilizzati per rubare informazioni. Ad esempio, uno di essi ha inviato ai criminali informatici documenti aperti di recente.

Per comunicare con i server C&C sono stati utilizzati vari meccanismi: la libreria cURL (per HTTP/HTTPS), l’interfaccia Background Intelligent Transfer Service (BITS), l’interfaccia di programmazione WinHTTP e i servizi di posta pubblica che utilizzano i protocolli POP3S, SMTPS o IMAPS.

Come proteggersi da MosaicRegressor

Per difendersi da MosaicRegressor, la prima minaccia da neutralizzare è lo spear phishing, attraverso il quale iniziano gli attacchi più sofisticati. Per la massima protezione dei computer dei dipendenti, Kaspersky consiglia l’uso di una combinazione di prodotti di sicurezza con tecnologie anti-phishing avanzate e un piano di formazione per sensibilizzare i dipendenti su questo tipo di attacchi.

Per quanto riguarda il firmware compromesso, purtroppo non si sa ancora esattamente come il bootkit sia finito sui computer delle vittime. Sulla base dei dati che riguardano HackingTeam e la pubblicazione di dati, i cybercriminali hanno presumibilmente avuto bisogno di un accesso fisico e hanno usato una chiavetta USB per infettare i dispositivi. Tuttavia, non si possono tuttavia escludere altri metodi.

Per proteggersi da MosaicRegressor, Kaspersky consiglia di:

  • Controllare il sito web della casa produttrice del vostro computer o della scheda madre per scoprire se il vostro hardware supporta Intel Boot Guard, che impedisce la modifica non autorizzata del firmware UEFI
  • Utilizzare la cifratura full-disk per evitare che un bootkit installi il suo payload
  • Utilizzare soluzioni di sicurezza capaci di analizzare e identificare minacce di questo tipo come Kaspersky Endpoint Security, in grado di andare alla ricerca delle minacce che si nascondono nel ROM BIOS e nel firmware UEFI.