Siber güvenlik araştırmacıları, aygıt yazılımı başlatma kiti olarak bilinen çok nadir bir kötü amaçlı yazılım türünü kullanarak gelişmiş bir kalıcı tehdit (APT) casusluk kampanyasını ortaya çıkardılar. Modern bilgisayarların önemli bir bileşeni olan Birleşik Genişletilebilir Ürün Yazılımı Arayüzünde (UEFI) tespit edilen bu kötü amaçlı yazılım, siber güvenlik uzmanları tarafından keşfedildi.
Donanıma gömülü UEFI yazılımı, bilgisayara işletim sistemi ve diğer tüm programlar yüklenmeden önce çalışmaya başlayan bilgisayarın önemli bir parçasıdır. UEFI yazılımı bir şekilde kötü amaçlı kod içerecek şekilde değiştirilirse, bu kod işletim sisteminden önce başlatılarak saldırıyı güvenlik çözümleri için potansiyel olarak görünmez hale getirir. UEFI verilerinin sabit sürücüden ayrı benzersiz bir flash yongada bulunması, işletim sistemi tamamen silinip yeniden kurulsa bile tehdidin cihazda kalacağı anlamına gelir. Bir örnek buldular. Bu yeni keşfedilen kampanya, UEFI'ye yerleşen casusluk ve kötü amaçlı yazılımlar sayesinde veri toplama için kullanıldı.
UEFI bootkit bileşenleri ağırlıklı olarak Hacking Team tarafından geliştirilen 'Vector-EDK' önyükleme setine dayanmaktadır ve kaynak kodu 2015 yılında çevrimiçi olarak sızdırılmıştır. Sızan kod, failler tarafından riski azaltmak için çok az geliştirme çabasıyla kendi yazılımlarını oluşturmak için kullanılmış olabilir.
2019'un başından beri Kaspersky ürünlerinde bulunan Firmware Scanner'ın yardımıyla saldırılar tespit edildi. Bu teknoloji, UEFI firmware görüntüleri dahil ROM BIOS'ta gizlenen tehditleri tespit etmek için özel olarak geliştirildi.
Saldırganların orijinal UEFI aygıt yazılımının üzerine yazmasına izin veren kesin bulaşma vektörünü tespit etmek mümkün olmasa da, Kaspersky araştırmacıları, sızdırılan Hacking Team belgelerinden VectorEDK hakkında bilinenlere dayanarak bunun nasıl yapılacağına dair olasılıkları ortaya çıkardı. Diğer seçenekleri göz ardı etmemekle birlikte, virüs muhtemelen kurbanın makinesine fiziksel erişim yoluyla, özellikle özel bir güncelleme yardımcı programı içeren önyüklenebilir bir USB çubuğunun yardımıyla girer. İlk bulaşmanın ardından, Truva atı indiricisi devreye girer ve işletim sistemi çalışırken saldırganın ihtiyaçlarına uygun herhangi bir kötü amaçlı kodun indirilmesini sağlar.
Bununla birlikte, çoğu durumda, MosaicRegressor bileşenleri cihazlara çok daha basit yollarla sızdırıldı; örneğin, sahte arşivlerde gizlenmiş dosyaları mesaj eklerinde seçilen hedeflere göndererek. Kampanyanın modüler yapısı, geniş bir alana yayılarak ve bileşenleri yalnızca hedeflenen cihazlara göndererek saldırıların gizlenmesine yardımcı oldu. Virüslü cihaza başlangıçta yüklenen kötü amaçlı yazılımları, ek yükleri ve diğer kötü amaçlı yazılımları indirebilen bir program olan bir Truva atı indiricisinden oluşur. İndirme yüküne bağlı olarak, kötü amaçlı yazılım, rastgele URL'lerden rastgele dosyalar indirip yükleyerek hedef makineden bilgi toplayabilir.
Keşfedilen kurbanların bağlantısına dayanarak, araştırmacılar MosaicRegressor'ın Afrika, Asya ve Avrupa'dan diplomatlara ve STK üyelerine yönelik bir dizi hedefli saldırıda kullanıldığını belirlediler. Saldırılardan bazıları, Rusça dilinde hedeflenmiş kimlik avı belgelerini içeriyordu. Bazıları Kuzey Kore ile ilgiliydi ve kötü amaçlı yazılımları indirmek için yem olarak kullanıldı. Kampanya, bilinen herhangi bir ileri kalıcı tehdit aktörüyle ilişkilendirilmedi.
Kaspersky Küresel Araştırma ve Analiz Ekibi'nde (GReAT) Kıdemli Güvenlik Araştırmacısı Mark Lechtik şunları söylüyor:"UEFI saldırıları tehdit aktörleri için geniş fırsatlar sunarken, MosaicRegressor, bir tehdit aktörü özel yapım, kötü niyetli bir UEFI ürün yazılımını vahşi ortamda kullandığında herkes tarafından kullanılabilir. Daha önce özgür ortamda gözlemlenen benzer saldırılar, sadece yasal yazılımın (LoJax gibi) yeniden tasarlanmasıyla gerçekleştiriliyordu, oysa bu saldırı, istisnai durumlarda saldırganların kurbanın makinesinde en yüksek düzeyde kalıcılığı elde etmek için büyük çaba sarf etmeye istekli olduğunu gösteriyor. araç setlerini çeşitlendirmeye ve yaratıcılığını kullanmaya devam ediyor. ”
Kaspersky GReAT Baş Güvenlik Araştırmacısı Igor Kuznetsov şunları ekliyor:“Sızan üçüncü taraf kaynak kodunun kullanımı ve yeni, gelişmiş bir kötü amaçlı yazılım olarak özelleştirilmesi bize bir kez daha veri güvenliğinin önemini hatırlatıyor. Kötü amaçlı yazılım (bir önyükleme seti, kötü amaçlı yazılım veya başka bir şey) sızdırıldığında, tehdit aktörleri önemli bir avantaj elde eder. Ücretsiz olarak sunulan araçlar, araç setlerini daha az çaba ve daha az tespit şansı ile geliştirme ve özelleştirme fırsatı verir. "