web analytics

Bootkit UEFI, virus italiani, hacker cinesi e la Corea del Nord

kaspersky bootkint uefi mosaicregressor

Alcuni ricercatori di Kaspersky, hanno scovato un attacco realizzato da un gruppo di hacker cinesi, tramite un bootkit UEFI ed il malware MosaicRegressor. Nel mirino dei cybercriminali gruppi diplomatici ed ONG asiatiche, africane ed europee, aventi tutti connessioni con la Corea del Nord.

Il bootkit è il lasciapassare per il malware MosaicRegressor

Il firmware UEFI, come sapete, è un componente cruciale per ogni computer. Riuscire ad inserire del codice malevolo all’interno del firmware, consente allo stesso di sopravvivere alle re-installazioni del sistema operativo. È un tipo di attacco, quindi, estremamente proficuo ma allo stesso tempo molto complesso da realizzare, poiché richiede, di solito, l’accesso fisico alla macchina.

kaspersky bootkint uefi mosaicregressor cina corea del nord

I ricercatori di sicurezza di Kaspersky hanno affermato di aver rilevato un attacco diffuso che sfrutta codice dannoso inserito nell’UEFI, realizzato da hacker cinesi. Ma cosa centra l’Italia? Il codice dannoso utilizzato non è esattamente nuovo, bensì basato su VectorEDK, un’utility creata da Hacking Team, un fornitore italiano di strumenti di hacking ed exploit, violata nel 2015, i cui strumenti vennero diffusi online.

MosaicRegressor

I ricercatori di Kaspersky hanno scoperto questi attacchi dopo la segnalazione di due computer come sospetti, dal modulo Firmware Scanner dell’azienda. Il bootkit avrebbe inserito del codice all’interno dell’UEFI di queste macchine che, a sua volta, sarebbe stato in grado di installare programmi di esecuzione automatica ad ogni avvio del computer. I ricercatori hanno affermato di aver trovato il bootkit UEFI solo su due sistemi. Vari componenti di MosaicRegressor, invece, sono stati trovati su una moltitudine di altri computer.

kaspersky bootkint uefi mosaicregressor componenti malevoli
I componenti inseriti nel firmware UEFI dal bootkit.

L’azienda di security deve ancora completare l’analisi di tutti i componenti del malware diffuso grazie al bootkit UEFI. La porzione esaminata, tuttavia, conterrebbe funzionalità per raccogliere tutti i file dalla cartella dei documenti recenti inserendoli, successivamente, in un archivio protetto da password. È molto probabile la presenza di ulteriori componenti in grado di estrarre, in un secondo momento, l’archivio dal computer della vittima.

Per avere maggiori dettagli, vi rimando a questo documento riguardo il bootkit e MosaicRegressor, appositamente pubblicato da Kaspersky.

sharing-caring-1Seguiteci sul nostro canale Telegram, sulla nostra pagina Facebook e su Google News. Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.