Uma campanha de espionagem baseada em ameaça persistente avançada (APT) que usa uma forma rara de malware foi observada atacando diplomatas e membros de ONGs. A campanha, que depende de um bootkit (malware de firmware), foi identificada por pesquisadores da Kaspersky que operavam a tecnologia de varredura UEFI/BIOS. O malware desconhecido foi identificado na Unified Extensible Firmware Interface (UEFI).
O firmware UEFI é usado em todos os dispositivos de computador modernos e começa a ser executado antes do sistema operacional e de todos os programas nele instalados. Isso, junto com o fato de que o firmware reside em um chip flash separado do disco rígido do dispositivo, torna a detecção de qualquer malware no firmware UEFI muito difícil.
“Se o firmware UEFI for modificado de alguma forma para conter código malicioso, esse código será lançado antes do sistema operacional, tornando sua atividade potencialmente invisível para soluções de segurança”, diz a Kaspersky. “A infecção do firmware significa essencialmente que, independentemente de quantas vezes o sistema operacional foi reinstalado, o malware plantado pelo bootkit permanecerá no dispositivo.”
Veja isso
Erro de firmware em periféricos Lenovo, HP e Dell dá brecha a hacker
Firmware não assinado continua sendo brecha em sistemas
Os pesquisadores disseram que o bootkit UEFI usado com o malware é uma versão customizada do bootkit Vector-EDK da Hacking Team, cujo código-fonte vazou em 2015. É o primeiro ataque in-the-wild utilizando um bootkit UEFI customizado.
Uma amostra do malware de bootkit foi usada em uma campanha que implantou variantes de uma estrutura modular complexa de vários estágios chamada MosaicRegressor que foi usada para espionagem e coleta de dados.
Com base na afiliação das vítimas, os pesquisadores determinaram que o MosaicRegressor foi usado em uma série de ataques direcionados a diplomatas e membros de ONGs da África, Ásia e Europa. Embora não tenham certeza de como exatamente as infecções ocorreram, os pesquisadores descobriram que elas podem ter sido possíveis por meio do acesso físico à máquina da vítima, especificamente com uma chave USB inicializável, que conteria um utilitário de atualização especial.