Detectan una campaña de espionaje APT que utiliza un malware inusual en la UEFI

Guardar

Computer crime concept
Computer crime concept

Investigadores de Kaspersky han descubierto una campaña de espionaje APT (Amenaza Persistente Avanzada) que utiliza un tipo de malware poco usual, conocido como bootkit para firmware. El malware desconocido se encontraba en la Interfaz Extensible de Firmware Unificada (UEFI, por sus siglas en inglés).

Según advierteKaspersky, el firmware UEFI es una parte esencial de cualquier dispositivo y seejecuta antes que el sistema operativo y de los programas instalados. "Si el firmware UEFI se modifica dealguna manera para que incluya código malicioso, ese código se lanzará antesque el sistema operativo, haciendo su actividad potencialmente invisible paralas soluciones de seguridad. Esto, y el hecho de que el propio firmware resideen un chip flash separado del disco duro, hace que los ataques contra la UEFIsean excepcionalmente evasivos y persistentes – la infección del firmwaresignifica esencialmente que, independientemente de cuántas veces se hayareinstalado el sistema operativo, el malware instalado por el bootkitpermanecerá en el dispositivo", explica la compañía.

Espionaje y recopilación de datos

Los investigadores de Kasperskydescubrieron una muestra de este tipo de malware utilizada en una campaña que empleabavariantes de un framework modular complejo desplegado en varias etapasdenominado MosaicRegressor. En este sentido, la compañía afirma que elframework se usó para el espionaje y la recopilación de datos, "siendoel malware de la UEFI uno de los métodos de persistencia de este nuevo malware,hasta entonces desconocido".

"Los componentes del bootkit de la UEFI revelados se basaban en gran medida en el bootkit 'Vector-EDK' desarrollado por Hacking Team y cuyo código fuente se filtró online en 2015. Es muy probable que el código filtrado haya permitido a los atacantes construir su propio software con poco esfuerzo de desarrollo y menor riesgo de exposición".

Asimismo, la empresa de ciberseguridad señala que los ataques se localizaron gracias a su tecnología Firmware Scanner, específicamente desarrollada para detectar las amenazas que se esconden en el ROM BIOS, incluyendo imágenes de firmware UEFI.

Aunque no se pudo identificar el vector de infección exacto que permitió a los atacantes sobrescribir el firmware original de la UEFI, los investigadores de Kaspersky dedujeron que se podrían haber basado en lo que se conoce como el VectorEDK a partir de los documentos filtrados de Hacking Team. "Estos sugieren, sin excluir otras opciones, que las infecciones se hubieran producido a través del acceso físico a la máquina de la víctima, en concreto mediante un USB de arranque, que contendría una utilidad de actualización especial. El firmware parcheado facilitaría entonces la instalación de un descargador de troyanos, un malware que permite descargar cualquier carga útil adecuada para las necesidades del atacante cuando el sistema operativo está en funcionamiento", apunta la empresa de ciberseguridad.

A pesar de esto, Kaspersky subraya que, en la mayoría de los casos, los componentes de MosaicRegressor llegaron a las víctimas utilizando medidas como el spearphishing, con un dropper oculto en un archivo señuelo. "La estructura de múltiples módulos del framework permitió a los atacantes ocultar un análisis del framework más amplio y desplegar los componentes en las máquinas objetivo a demanda. El malware instalado inicialmente en el dispositivo infectado es un troyano descargador, un programa capaz de descargar carga útil adicional y otro malware".

Finalmente, Kaspersky revela que, basándose en elperfil de las víctimas, los  investigadorespudieron determinar que MosaicRegressor se utilizó en una serie de ataquesdirigidos a diplomáticos y miembros de ONG de África, Asia y Europa. Algunos delos ataques incluían spearphishing en ruso, mientras que otros estabanrelacionados con Corea del Norte y se utilizaban como señuelo para descargar malware.

Además, asegura que la campaña no se ha vinculado con fiabilidada ningún agente de APT conocido.

Ejemplos de documentos malicioso enviados a las víctimas de MosaicRegressor - Kaspersky

"Aunquelos ataques UEFI presentan amplias oportunidades para los actores de amenazas,MosaicRegressor es el primer caso conocido en el que un actor de amenazas hautilizado un firmware UEFI hecho a medida y malicioso 'in the wild'. Losataques 'in the wild' conocidos anteriormente utilizaban software legítimo (porejemplo, LoJax), siendo éste el primer ataque 'in the wild' que aprovecha unkit de arranque UEFI hecho a medida. Este ataque demuestra que, aunque es raro,en casos excepcionales los actores están dispuestos a hacer grandes esfuerzospara obtener el máximo nivel de persistencia en la máquina de una víctima. Losactores de amenazas siguen diversificando sus herramientas y son cada vez máscreativos en cuanto a la forma en que se dirigen a las víctimas, al igual quehan de serlo los proveedores de seguridad para adelantarse a los atacantes.Afortunadamente, la combinación de nuestra tecnología y el conocimiento de lascampañas actuales y pasadas que aprovechan el firmware infectado nos ayuda avigilar e informar sobre futuros ataques contra tales objetivos", ha comentado Mark Lechtik,investigador principal de seguridad del Equipo de Investigación y AnálisisGlobal (GReAT) de Kaspersky.

Por su parte, Igor Kuznetsov, investigador principalde seguridad del equipo GReAT de Kaspersky, ha declarado que "el uso de código fuente de tercerosfiltrado y su transformación en un nuevo y avanzado malware vuelve a recordarla importancia de la seguridad de los datos. Una vez que se filtra el software,ya sea un bootkit, un malware o cualquier otra cosa, los actores de amenazasobtienen una ventaja significativa. Las herramientas gratuitas disponibles lesbrindan la oportunidad de avanzar y personalizar sus conjuntos de herramientascon menos esfuerzo y menos posibilidades de ser detectados".