Un grupo de hackers chinos fue descubierto usando un bootkit UEFI en la naturaleza

Imagen: Artefactos soviéticos, ZDNet\n\nSe ha observado que un grupo de piratas informáticos de habla china utiliza un kit de arranque UEFI para descargar e instalar malware adicional en equipos específicos.\n\nEl firmware UEFI es un componente crucial para cada computadora. Este firmware crucial dentro de una memoria flash atornillada a la placa base y controla todos los componentes de hardware de la computadora y ayuda a arrancar el sistema operativo real de cara al usuario (como Windows, Linux, macOS, etc. \u003cbr\u003e).\n\nLos ataques al firmware UEFI son el Santo Grial de todos los grupos de piratas informáticos, ya que plantar código malicioso aquí le permite sobrevivir a las reinstalaciones del sistema operativo.\n\nNo obstante, a pesar de estos beneficios, los ataques de firmware UEFI son raros porque la manipulación de este componente es particularmente difícil, ya que los atacantes necesitan acceso físico al dispositivo o necesitan comprometer objetivos a través de ataques complejos a la cadena de suministro donde el firmware UEFI o las herramientas que funcionan con firmware UEFI se modifican para insertar código malicioso. \u003cbr\u003e\n\nEn una charla en la conferencia de seguridad virtual de SAS hoy, los investigadores de seguridad de Kaspersky dijeron que detectaron la segunda instancia conocida de un ataque generalizado que aprovecha el código malicioso implantado en UEFI.\n\nEl primero, revelado por ESET en 2018, fue supuestamente realizado por Fancy Bear, uno de los grupos de hackers patrocinados por el estado de Rusia. Este segundo es obra de hackers de habla china, según Kaspersky. \u003cbr\u003e\n\nLa compañía dijo que descubrió estos ataques después de que el módulo Firmware Scanner de la compañía marcara dos computadoras como sospechosas.\n\nEn su charla de hoy, los investigadores de malware de Kaspersky Mark Lechtik e Igor Kuznetsov dijeron que investigaron los sistemas marcados y encontraron código malicioso dentro del firmware UEFI marcado. Este código, dijeron, fue diseñado para instalar una aplicación maliciosa (como un programa de ejecución automática) después de que se inicie cada computadora. \u003cbr\u003e\n\nEste programa de ejecución automática inicial actuó como un descargador de otros componentes de malware, que Kaspersky denominó el marco de malware MosaicRegressor.\n\nKaspersky dijo que todavía tiene que obtener y analizar todos los componentes de MosaicRegressor, pero el que sí vieron contenía la funcionalidad para recopilar todos los documentos de la carpeta \"Documentos recientes\" y ponerlos en un archivo protegido con contraseña, lo más probable es que preparen el archivos para exfiltración a través de otro componente.\n\nLos investigadores dijeron que encontraron el kit de arranque UEFI en solo dos sistemas, pero encontraron componentes MosaicRegressor en una multitud de otras computadoras. \u003cbr\u003e\n\nSin embargo, los objetivos de estos ataques fueron seleccionados cuidadosamente. Todos eran entidades diplomáticas y ONG de África, Asia y Europa.\n\n\"Basándonos en la afiliación de las víctimas descubiertas, pudimos determinar que todas tenían alguna conexión con la RPDC [Corea del Norte], ya sea una actividad sin fines de lucro relacionada con el país o una presencia real dentro de él\", dijo Kaspersky. \u003cbr\u003e\n\nPero Kasperksy también hizo otro descubrimiento importante al analizar estos ataques. El código malicioso UEFI no era exactamente nuevo. Según su análisis, el código se basó en VectorEDK, que es una utilidad de piratería para atacar el firmware UEFI, creada por HackingTeam, un proveedor italiano ahora desaparecido de herramientas de piratería, exploits y software de vigilancia. \u003cbr\u003e\n\nLa compañía fue pirateada en 2015 y sus herramientas se descargaron en línea, incluido el kit de herramientas VectorEDK. Según su manual, la herramienta fue diseñada para ser utilizada con acceso físico a la computadora de la víctima.\n\nKaspersky dice que, basándose en las similitudes entre VectorEDK y la versión modificada utilizada por el grupo chino, el grupo chino probablemente también implementó su herramienta utilizando acceso físico a las computadoras de sus objetivos. \u003cbr\u003e\n\nEl informe completo de la empresa sobre estos ataques está disponible en formato PDF de 30 páginas aquí.\n\npags\n\nVER GALERIA COMPLETA.