MosaicRegressor, attacco via bootkit UEFI

Individuata una tipologia di attacco che fa leva sulla compromissione del firmware UEFI: operazione proveniente dalla Cina, ma con un legame italiano.
Individuata una tipologia di attacco che fa leva sulla compromissione del firmware UEFI: operazione proveniente dalla Cina, ma con un legame italiano.

Scoperta dai ricercatori Mark Lechtik e Igor Kuznetsov di Kaspersky una nuova campagna malevola proveniente dalla Cina che attraverso l’utilizzo di un bootkit UEFI ha preso di mira bersagli diplomatici nei territori di Europa, Asia, Africa e delle organizzazioni non governative. L’obiettivo è eseguire il download e l’installazione di malware sui computer delle vittime al fine di carpire dati e informazioni.

Bootkit UEFI, MosaicRegressor: nel mirino i diplomatici

Essendo il firmware UEFI una componente di importanza cruciale, collocata direttamente nella scheda madre e in controllo di ogni componente hardware nonché responsabile del caricamento della piattaforma software, non è difficile comprendere perché un’azione in grado di manometterlo o alterarlo possa tradursi in un rischio parecchio elevato e difficile da togliere di mezzo. Una minaccia di questo tipo può resistere persino a una nuova installazione del sistema operativo. Qualcosa di simile è stato scoperto nel 2018 da ESET: allora la responsabilità è stata attribuita a Fancy Bear, gruppo ritenuto vicino al governo russo.

Il duo di Kaspersky ha individuato l’attacco, con tutta probabilità perpetrato mediante accesso fisico al computer, dopo che lo strumento Firmware Scanner della software house ha etichettato due computer come “sospetti”. Dalla successiva analisi è emerso che il codice maligno è stato approntato per eseguire un processo autorun ad ogni avvio, battezzato MosaicRegressor e capace a sua volta di scaricare malware.

Stando a quanto fin qui emerso una delle azioni malevole compiute consiste nello sbirciare tra i documenti recenti aperti dall’utente, comprimendoli poi in un archivio protetto da password, quasi certamente con l’obiettivo di inviarli poi a un server remoto mediante un’altra componente. Tutti i bersagli individuati hanno un qualche legame con la Corea del Nord o gestiscono attività nel paese controllato da Kim Jong-un.

La verifica del codice di MosaicRegressor ha inoltre portato alla luce parecchie somiglianze con quello di VectorEDK, utility già nota agli addetti ai lavori come tool per la compromissione dei firmware UEFI e creata da Hacking Team, gruppo italiano con sede nel milanese che in molti ricorderanno, protagonista alcuni anni fa di una vicenda che ha visto intervenire anche le autorità nostrane.

Link copiato negli appunti

Ti potrebbe interessare

Link copiato negli appunti