MosaicRegressor
MosaicRegressor edustaa vasta toista kertaa, kun UEFI-juuripaketin on havaittu olevan käytössä luonnossa. UEFI tarkoittaa Unified Extensible Firmware Interface ja on todella mehukas kohde haittaohjelmien käyttäjille, koska se on asennettu SPI (Serial Peripheral Interface Bus) -muistitikulle, joka on juotettu suoraan tietokoneen emolevyyn. Tämän seurauksena kaikki sitä hyödyntävät haittaohjelmat saavuttavat valtavan pysyvyyden vaarantuneessa järjestelmässä, koska käyttöjärjestelmää ei voida asentaa uudelleen eikä mitään muutoksia kiintolevyihin muuteta.
Nimet MosaicRegressor antoivat tälle UEFI-juuripaketille tutkijat, jotka löysivät sen ensimmäisen kerran. Heidän havaintojensa mukaan MosaicRegressoria ei rakennettu tyhjästä. Hakkerit ottivat sen sijaan vuonna 2015 vuotaneen Hacking Teamin VectorEDK-käynnistyspaketin koodin ja muuttivat sitä voimakkaasti. Verkkorikolliset loivat melko monimutkaisen kehyksen rootkit-toiminnalle. Se sisältää useita lataimia ja useita välikuormaajia ennen lopullisten hyötykuormamoduulien pudottamista vaarantuneeseen järjestelmään. Hienostunut rakenne ja se, että vioittuneet moduulit suoritetaan vasta, kun hakkereilta on saatu asianmukainen komento, luovat merkittäviä esteitä rootkit-analyyseille. Turvallisuustutkijat pystyivät kuitenkin selvittämään, että yksi tietty moduuli oli vastuussa Viimeisimmät asiakirjat -kansiossa olevien tietojen keräämisestä, arkistoinnista ja suodattamisesta.
Mosaiikkirekisterin uhrit jakavat Pohjois-Korean yhteyden
Yksiköt useilta eri mantereilta näyttävät kuuluvan MosaicRegressorin uhreihin. Rootkit löydettiin useiden Euroopassa, Afrikassa ja Aasiassa sijaitsevien valtiosta riippumattomien järjestöjen ja diplomaattisten yksiköiden tietokoneilta kahden vuoden ajan vuosina 2017--2019. Ainoa yhteinen säie uhrien välillä, jonka kyberturvallisuuden tutkijat löysivät on heidän sijaintinsa Pohjois-Korea. Kaikki asianomaiset organisaatiot olivat läsnä maassa tai harjoittivat siihen liittyvää voittoa tavoittelematonta toimintaa. Itse asiassa yksi hakkereiden käyttämistä hyökkäysvektoreista oli jakaa myrkytettyjä SFX-tiedostoja, jotka oli naamioitu asiakirjoiksi, joissa keskusteltiin useista Pohjois-Koreaan liittyvistä aiheista.
