Mosaic Regresor

Mosaic Regresor Popis

MosaicRegressor představuje pouze podruhé, kdy byl pozorován nasazení rootkitu UEFI ve volné přírodě. UEFI znamená Unified Extensible Firmware Interface a je skutečně šťavnatým cílem provozovatelů malwaru, protože je instalován na flash paměti Serial Peripheral Interface Bus (SPI), která je přímo připájena k základní desce počítače. Výsledkem je, že jakýkoli malware, který jej zneužije, dosáhne v napadeném systému ohromné vytrvalosti, protože nebude upraven přeinstalací operačního systému ani změnami na pevných discích.

Název MosaicRegressor dali tomuto rootkitu UEFI vědci, kteří jej poprvé objevili. Podle jejich zjištění nebyl MosaicRegressor postaven od nuly. Místo toho hackeři vzali kód bootovací sady VectorEDK od Hacking Team, který byl propuštěn zpět v roce 2015, a výrazně jej upravili. Kyberzločinci vytvořili poměrně složitý rámec pro činnost rootkitu. Zahrnuje několik stahovacích modulů a několik mezilehlých zavaděčů předtím, než jsou na kompromitovaném systému vyřazeny konečné moduly užitečného zatížení. Propracovaná struktura a skutečnost, že poškozené moduly jsou prováděny až po obdržení příslušného příkazu od hackerů, vytvářejí významné překážky pro analýzy rootkitu. Výzkumníci v oblasti zabezpečení však byli schopni určit, že jeden konkrétní modul byl zodpovědný za shromažďování, archivaci a následné exfiltraci všech dat nalezených ve složce Nedávné dokumenty.

Oběti MosaicRegressor sdílejí severokorejské spojení

Zdá se, že mezi oběťmi MosaicRegressor jsou entity z několika různých kontinentů. Rootkit byl nalezen na počítačích několika nevládních organizací (NGO) a diplomatických subjektů se sídlem v Evropě, Africe a Asii po dobu dvou let mezi roky 2017 a 2019. Jediné společné vlákno mezi oběťmi, které vědci v oblasti kybernetické bezpečnosti dokázali najít je jejich umístění v Severní Koreji. Všechny dotčené organizace byly přítomny v zemi nebo prováděly neziskové aktivity s ní související. Ve skutečnosti jedním z vektorů útoku použitých hackery bylo distribuovat otrávené soubory SFX maskované jako dokumenty diskutující o různých severokorejských tématech.