UEFI загружается ещё до операционной системы и контролирует все процессы на «раннем старте». Отсюда и главная опасность, связанная с компрометацией этой среды: если внести изменения в код UEFI, можно получить полный контроль над компьютером. Например, изменить память, содержание диска или, как в случае с буткитом MosaicRegressor, заставить операционную систему запустить вредоносный файл. А поскольку речь идёт о низкоуровневой вредоносной программе, избавиться от неё не поможет ни замена жёсткого диска, ни переустановка ОС.
«Этот файл представляет собой загрузчик, он связывается с сервером управления, собирает все недавние документы на компьютере, архивирует их и передаёт обратно на сервер. По сути, это просто шпионаж, — комментирует Игорь Кузнецов, ведущий антивирусный эксперт «Лаборатории Касперского». — Мы также нашли другие компоненты MosaicRegressor, которые, предположительно, сбрасываются с самого сервера управления, выполняют полезную вредоносную нагрузку, а затем удаляются. Сейчас есть информация о двух жертвах буткита UEFI, а также нескольких жертвах кампании, столкнувшихся с целевым фишингом. Все они являются дипломатами, либо членами НКО, а их деятельность связана с Северной Кореей».
Атаки были обнаружены с помощью технологии «Лаборатории Касперского» Firmware Scanner, входящей в состав продуктов компании с начала 2019 года. Эта технология разработана специально для детектирования угроз, скрывающихся в микросхемах ROM BIOS, включая образы прошивок UEFI.
В ходе исследования инфраструктуры MosaicRegressor «Лаборатория Касперского» также установила, что в основу компонентов буткита UEFI положен код Vector-EDK. Это специальный конструктор, который был создан кибергруппой Hacking Team и в том числе содержит инструкцию по созданию модуля для перепрошивки UEFI. В 2015 году эти и другие исходники Hacking Team в результате утечки оказались в свободном доступе, что позволило злоумышленникам создать собственное программное обеспечение с минимальными усилиями: они просто дополнили исходный код вредоносным компонентом.
«Существуют разные методы заражения UEFI: если этот микрочип не был защищён должным образом, то с помощью спецпрограммы или даже легальных утилит для обновления UEFI, можно запустить вредоносную версию прошивки. Есть ещё способ, предполагающий физический доступ к оборудованию, — добавляет Игорь Кузнецов. — Как бы то ни было, мы имеем дело с мощным, продвинутым инструментом для кибератак, далеко не каждому злоумышленнику под силу сделать такой. Однако с появлением готовых рабочих примеров, возникает опасность повторного использования технологии, тем более что инструкции к ней по-прежнему может скачать любой. Этот инцидент демонстрирует, что злоумышленники становятся всё более креативными и постоянно совершенствуют свои техники. К счастью, наши решения и экспертный опыт позволяют отслеживать подобные атаки».