Bootkit UEFI, virus italiani, hacker cinesi e la Corea del Nord
Alcuni ricercatori di Kaspersky, hanno scovato un attacco realizzato da un gruppo di hacker cinesi, tramite un bootkit UEFI ed il malware MosaicRegressor.
Nel mirino dei cybercriminali gruppi diplomatici ed ONG asiatiche, africane ed europee, aventi tutti connessioni con la Corea del Nord.
Il bootkit è il lasciapassare per il malware MosaicRegressor
Il firmware UEFI, come sapete, è un componente cruciale per ogni computer. Riuscire ad inserire del codice malevolo all’interno del firmware, consente allo stesso di sopravvivere alle re-installazioni del sistema operativo. È un tipo di attacco, quindi, estremamente proficuo ma allo stesso tempo molto complesso da realizzare, poiché richiede, di solito, l’accesso fisico alla macchina.
I ricercatori di sicurezza di Kaspersky hanno affermato di aver rilevato un attacco diffuso che sfrutta codice dannoso inserito nell’UEFI, realizzato da hacker cinesi. Ma cosa centra l’Italia? Il codice dannoso utilizzato non è esattamente nuovo, bensì basato su VectorEDK, un’utility creata da Hacking Team, un fornitore italiano di strumenti di hacking ed exploit, violata nel 2015, i cui strumenti vennero diffusi online.
MosaicRegressor
I ricercatori di Kaspersky hanno scoperto questi attacchi dopo la segnalazione di 2 computer come sospetti, dal modulo Firmware Scanner dell’azienda. Il bootkit avrebbe inserito del codice all’interno dell’UEFI di queste macchine che, a sua volta, sarebbe stato in grado di installare programmi di esecuzione automatica ad ogni avvio del computer. I ricercatori hanno affermato di aver trovato il bootkit UEFI solo su 2 sistemi. Vari componenti di MosaicRegressor, invece, sono stati trovati su una moltitudine di altri computer.
I componenti inseriti nel firmware UEFI dal bootkit
L’azienda di security deve ancora completare l’analisi di tutti i componenti del malware diffuso grazie al bootkit UEFI. La porzione esaminata, tuttavia, conterrebbe funzionalità per raccogliere tutti i file dalla cartella dei documenti recenti inserendoli, successivamente, in un archivio protetto da password. È molto probabile la presenza di ulteriori componenti in grado di estrarre, in un secondo momento, l’archivio dal computer della vittima.
Per avere maggiori dettagli, vi rimando a questo documento riguardo il bootkit e MosaicRegressor, appositamente pubblicato da Kaspersky.
Seguiteci sul nostro canale Telegram, sulla nostra pagina Facebook e su Google News. Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.
Fonte: https://www.lffl.org/2020/10/uefi-bootkit-mosaicregressor.html
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
