Recientemente, investigadores de Kaspersky descubrieron ataques dirigidos sofisticados contra instituciones diplomáticas y ONGs en Asia, Europa y África. Hasta donde podemos decir, todas las víctimas estaban relacionadas con Corea del Norte de una u otra manera, ya sea por actividades sin fines de lucro o por nexos diplomáticos.
Los atacantes utilizaron un sofisticado marco de trabajo de ciberespionaje modular que los expertos denominaron MosaicRegressor.
La investigación reveló que en algunos casos el malware ingresó en las computadoras de las víctimas mediante UEFIs modificados, un evento extremadamente infrecuente en el malware activo. Sin embargo, en la mayoría de los casos, los atacantes utilizaron spear-phishing (phishing dirigido), un método más convencional.
¿Qué es UEFI y por qué el bootkit es peligroso?
UEFI, al igual que BIOS (al cual sustituye), es un software que funciona al encender la computadora, incluso antes de que arranque el sistema operativo. Además, se almacena no en el disco duro, sino en un microprocesador en la tarjeta madre. Si los cibercriminales modifican el código de UEFI, pueden utilizarlo el envío potencial de malware al sistema de una víctima.
Y eso es exactamente lo que se encontró en la campaña ya descrita. Por si fuera poco, al crear su firmware de UEFI modificado, los atacantes utilizaron el código fuente de VectorEDK, un bootkit del Hacking Team que se filtró en la web. Si bien el código fuente estaba a disposición del público en 2015, esta es la primera prueba que se observa de su uso por parte de los cibercriminales.
Cuando el sistema inicia, el bootkit coloca el archivo malicioso IntelUpdate.exe en la carpeta de arranque del sistema. El archivo ejecutable descarga e instala otros componentes de MosaicRegressor en la computadora. Incluso si se detecta este archivo malicioso, debido al relativo aislamiento de UEFI resulta casi imposible de eliminar. No sirve de nada borrarlo ni reinstalar el sistema operativo por completo. La única manera de resolver el problema es reprogramando la tarjeta madre.
¿Cuán peligroso es MosaicRegressor?
Los componentes de MosaicRegressor que lograron infiltrarse en las computadoras de las víctimas (ya sea mediante un UEFI comprometido o mediante phishing dirigido) se conectaron con los servidores de su centro de mando y control, descargaron módulos adicionales y los ejecutaron. Después, estos módulos se usaron para robar información. Por ejemplo, uno de ellos envió los documentos recientemente abiertos a los cibercriminales.
Se usaron varios mecanismos para comunicarse con los servidores de mando y control: la biblioteca de cURL (para HTTP/HTTPS), la interfaz del servicio de transferencia inteligente en segundo plano (BITS), la interfaz de programación WinHTTP y los servicios de correo electrónico gratuito que usan los protocolos POP3S, SMTPS o IMAPS.
Cómo protegerte de MosaicRegressor
Para protegerte contra MosaicRegressor, la primera amenaza a neutralizar es el spear-phishing, pues es así como comienza la mayoría de los ataques sofisticados. Para lograr una protección informática de los empleados, los expertos de Kaspersky recomiendan usar una combinación de productos de seguridad con las tecnologías avanzadas antiphishing y formación para fomentar la concientización de los empleados acerca de los ataques de este tipo
Ofrecemos varias soluciones de seguridad que detectan módulos maliciosos cuya misión es el robo de datos.
En cuanto al firmware comprometido, desafortunadamente no se conoce cómo es que el bootkit penetró en las computadoras de las víctimas. De acuerdo con información de la filtración del HackingTeam, probablemente los atacantes necesitaron acceso físico y utilizaron una unidad USB para infectar las máquinas. Sin embargo, no se pueden descartar otros métodos de vulneración de UEFI.
Sigue estos pasos para protegerte contra el bootkit UEFI de MosaicRegressor:
- Revisa el sitio web del fabricante de tu computadora o tarjeta madre para saber si tu hardware es compatible con Intel Boot Guard, el cual evita la modificación no autorizada del firmware
- Usa el cifrado de disco completo para evitar que un bootkit instale su carga nociva.
- Usa una solución de seguridad confiable que pueda escanear e identificar las amenazas de este tipo.
Funte: