MosaicRegressor

MosaicRegressor Opis

MosaicRegressor reprezentuje tylko drugi raz, kiedy zaobserwowano, że rootkit UEFI został wdrożony w środowisku naturalnym. UEFI to skrót od Unified Extensible Firmware Interface i jest naprawdę soczystym celem dla operatorów złośliwego oprogramowania, ponieważ jest instalowane w pamięci flash Serial Peripheral Interface Bus (SPI), która jest przylutowana bezpośrednio do płyty głównej komputera. W rezultacie każde złośliwe oprogramowanie, które go wykorzysta, osiągnie ogromną trwałość w zaatakowanym systemie, ponieważ nie zostanie zmodyfikowane przez ponowną instalację systemu operacyjnego ani żadne zmiany na dyskach twardych.

Nazwa MosaicRegressor została nadana temu rootkitowi UEFI przez badaczy, którzy jako pierwsi go odkryli. Według ich ustaleń MosaicRegressor nie został zbudowany od podstaw. Zamiast tego hakerzy zabrali kod bootkita VectorEDK zespołu Hacking Team, który wyciekł w 2015 roku, i mocno go zmodyfikowali. Cyberprzestępcy stworzyli dość złożoną strukturę działań rootkita. Zawiera wiele programów pobierających i kilka pośrednich programów ładujących, zanim ostatnie moduły ładunku zostaną upuszczone na zaatakowany system. Wyrafinowana struktura i fakt, że uszkodzone moduły są uruchamiane dopiero po otrzymaniu odpowiedniego polecenia od hakerów, stanowią istotne przeszkody w analizie rootkita. Niemniej jednak badacze bezpieczeństwa byli w stanie ustalić, że jeden konkretny moduł był odpowiedzialny za gromadzenie, archiwizację, a następnie eksfiltrację wszelkich danych znalezionych w folderze Ostatnie dokumenty.

Ofiary MosaicRegressor mają wspólne połączenie z Koreą Północną

Wydaje się, że wśród ofiar MosaicRegressor znajdują się istoty z kilku różnych kontynentów. Rootkit został znaleziony na komputerach kilku organizacji pozarządowych (NGO) i placówek dyplomatycznych zlokalizowanych w Europie, Afryce i Azji przez dwa lata między 2017 a 2019 rokiem. Jedyny wspólny wątek między ofiarami, jaki udało się znaleźć badaczom cyberbezpieczeństwa to ich lokalizacja to Korea Północna. Wszystkie zainteresowane organizacje były obecne w kraju lub prowadziły działalność non-profit z tym związaną. W rzeczywistości jednym z wektorów ataków wykorzystywanych przez hakerów była dystrybucja zatrutych plików SFX pod postacią dokumentów omawiających różne tematy związane z Koreą Północną.