Recentemente, i nostri ricercatori hanno scoperto un sofisticato attacco mirato contro istituzioni diplomatiche e ONG in Asia, Europa e Africa. In base a quanto abbiamo potuto determinare, tutte le vittime erano collegate alla Corea del Nord in un modo o nell’altro, sia attraverso attività no-profit sia attraverso legami diplomatici.
I cybercriminali hanno utilizzato un sofisticato framework modulare di cyberspionaggio che i nostri ricercatori hanno battezzato MosaicRegressor. La nostra indagine ha rivelato che, in alcuni casi, il malware è entrato nei computer delle vittime attraverso UEFI modificati, un evento estremamente raro nell’ambiente in the wild. Tuttavia, nella maggior parte dei casi, i criminali informatici si sono serviti del più tradizionale spear phishing.
UEFI: cos’è e perché il bootkit è così pericoloso?
UEFI, come il BIOS che sostituisce, è un software che si attiva all’avvio del computer e ancor prima dell’avvio del sistema operativo. Inoltre, non è memorizzato sul disco rigido, ma su un chip della scheda madre. Se i criminali informatici modificano il codice UEFI, potrebbero utilizzarlo per inviare malware al sistema della vittima.
Questo è esattamente ciò che abbiamo trovato nella campagna descritta. Inoltre, nel creare il firmware UEFI modificato, i criminali informatici hanno utilizzato il codice sorgente di VectorEDK, un bootkit di Hacking Team pubblicato online. Sebbene il codice sorgente sia disponibile già dal 2015, questa è la prima prova che abbiamo visto del suo utilizzo da parte dei cybercriminali.
Quando il sistema si apre, il bootkit posiziona il file dannoso IntelUpdate.exe nella cartella di avvio del sistema. Il file eseguibile scarica e installa un altro componente di MosaicRegressor sul computer. Data la relativa singolarità di UEFI, anche se questo file dannoso viene rilevato, è quasi impossibile da rimuovere. Né la sua eliminazione né la reinstallazione del sistema operativo sono di aiuto. L’unico modo per risolvere il problema è aggiornare la scheda madre.
Quanto è pericoloso MosaicRegressor?
I componenti di MosaicRegressor che si sono insinuati nei computer delle vittime (attraverso un UEFI compromesso o mediante phishing mirato) si sono collegati ai server C&C, hanno scaricato moduli aggiuntivi e li hanno fatti funzionare. Successivamente, questi moduli sono stati utilizzati per rubare informazioni. Ad esempio, uno di essi ha inviato ai criminali informatici documenti aperti di recente.
Per comunicare con i server C&C sono stati utilizzati vari meccanismi: la libreria cURL (per HTTP/HTTPS), l’interfaccia Background Intelligent Transfer Service (BITS), l’interfaccia di programmazione WinHTTP e i servizi di posta pubblica che utilizzano i protocolli POP3S, SMTPS o IMAPS.
Il nostro post su Securelist fornisce un’analisi tecnica più dettagliata del framework dannoso MosaicRegressor, oltre agli indicatori di compromissione.
Come proteggersi da MosaicRegressor
Per difendersi da MosaicRegressor, la prima minaccia da neutralizzare è lo spear phishing, attraverso il quale iniziano gli attacchi più sofisticati. Per la massima protezione dei computer dei dipendenti, consigliamo l’uso di una combinazione di prodotti di sicurezza con tecnologie anti-phishing avanzate e un piano di formazione per sensibilizzare i dipendenti su questo tipo di attacchi.
Le nostre soluzioni di sicurezza individuano i moduli dannosi che hanno come obiettivo il furto di dati.
Per quanto riguarda il firmware compromesso, purtroppo non sappiamo esattamente come il bootkit sia finito sui computer delle vittime. Sulla base dei dati che riguardano HackingTeam e la pubblicazione di dati, i cybercriminali hanno presumibilmente avuto bisogno di un accesso fisico e hanno usato una chiavetta USB per infettare i dispositivi. Tuttavia, non si possono tuttavia escludere altri metodi.
Per proteggervi da MosaicRegressor:
- Controllate il sito web della casa produttrice del vostro computer o della scheda madre per scoprire se il vostro hardware supporta Intel Boot Guard, che impedisce la modifica non autorizzata del firmware UEFI;
- Utilizzate la cifratura full-disk per evitare che un bootkit installi il suo payload;
- Utilizzate soluzioni di sicurezza affidabili in grado di analizzare e identificare minacce di questo tipo. Dal 2019, i nostri prodotti sono in grado di andare alla ricerca delle minacce che si nascondono nel ROM BIOS e nel firmware UEFI. Infatti, la nostra tecnologia Firmware Scanner dedicata ha rilevato subito questo attacco.