«Лаборатория Касперского» обнаружила целевую кампанию кибершпионажа с использованием сложной модульной структуры MosaicRegressor, куда в том числе входит буткит для встроенной в материнскую плату микропрограммы UEFI.
На данный момент это первый случай заражения UEFI при помощи специально разработанного для такого типа атак вредоносного ПО.
UEFI (Unified Extensible Firmware Interface) загружается ещё до операционной системы и контролирует все процессы на «раннем старте». Отсюда и главная опасность, связанная с компрометацией этой среды: если внести изменения в код UEFI, можно получить полный контроль над компьютером. Например, изменить память, содержание диска или, как в случае с буткитом MosaicRegressor, заставить операционную систему запустить вредоносный файл. А поскольку речь идёт о низкоуровневой вредоносной программе, избавиться от неё не поможет ни замена жёсткого диска, ни переустановка ОС.
Атаки были обнаружены с помощью технологии Firmware Scanner. Она входит в состав продуктов «Лаборатории Касперского» с начала 2019 года и разработана специально для детектирования угроз, скрывающихся в микросхемах ROM BIOS, включая образы прошивок UEFI.
В ходе исследования инфраструктуры MosaicRegressor «Лаборатория Касперского» также установила, что в основу компонентов буткита UEFI положен код Vector-EDK. Это специальный конструктор, который был создан кибергруппой Hacking Team и в том числе содержит инструкцию по созданию модуля для перепрошивки UEFI. В 2015 году этот и другие исходники Hacking Team в результате утечки оказались в свободном доступе, что позволило злоумышленникам создать собственное программное обеспечение с минимальными усилиями — они просто дополнили исходный код вредоносным компонентом.
Новости «Лаборатория Касперского»