Bootkit MosaicRegressor

Bootkit MosaicRegressor  

Kaspersky ha annunciato la scoperta del secondo malware in grado di aggredire il contenuto del firmware della scheda madre e modificare il comportamento del BIOS UEFI 

Le indagini hanno evidenziato come il rootkit in questione, battezzato MosaicRegressor e appartenente al sottoinsieme dei bootkit firmware (proprio per la sua abilità nel modificare il codice di avvio conservato sulla scheda madre), sia stato utilizzato dal 2019 in avanti per prendere di mira e spiare obiettivi ben precisi, tra cui alcuni diplomatici e agenzie non governative.

Il malware modificando il contenuto del chip flash SPI saldato sulla motherboard permette agli aggressori di avere "pieni poteri" sul funzionamento del dispositivo altrui per cui l'infezione non può essere rimossa, ad esempio, con la sostituzione dell'hard disk, dell'unità SSD o con la completa reinstallazione del sistema operativo.

I ricercatori di Kaspersky Mark Lechtik and Igor Kuznetsov spiegano che MosaicRegressor poggia il suo funzionamento su un framework modulare e multilivello realizzato da un gruppo di criminali informatici cinesi per svolgere attività spionaggio oltre al furto di informazioni sensibili e dati riservati. 

Alcuni documenti di Hacking Team parlano del bootkit VectorEDK, già utilizzato da un altro malware simile a MosaicRegressor ovvero LoJax, scoperto da ESET nel 2018 

 
Nel caso di specie Kaspersky ipotizza che le infezioni sarebbero avvenute sfruttando l'accesso fisico ai PC delle vittime ma in molti casi sarebbero state sfruttati meccanismi basati sullo spear phishing ovvero inviando email mirate contenenti informazioni truffaldine concepite per ottenere la fiducia altrui.

La struttura a più moduli del framework ha permesso agli aggressori di nasconderne all'analisi le funzionalità più evolute e distribuire i meccanismi più avanzati per il monitoraggio e la sottrazione dei dati con un successivo download.

I tecnici di Kaspersky aggiungono che gli attacchi sono stati rilevati con l'aiuto di Firmware Scanner, tecnologia integrata a inizio 2019 nei prodotti per la sicurezza. Tale tecnologia è stata sviluppata per rilevare in modo specifico le minacce che si nascondono nel BIOS/UEFI.