Donanıma gömülü UEFI yazılımı, bilgisayara yüklü işletim sistemi ve bunun üzerinde yer alan diğer tüm programlardan önce çalışmaya başlayan bilgisayarın önemli bir parçası. UEFI yazılımı bir şekilde kötü amaçlı kod içerecek şekilde değiştirilirse, bu kod işletim sisteminden önce başlatılıyor ve bu da saldırıyı güvenlik çözümleri açısından potansiyel olarak görünmez hale getiriyor. UEFI verisinin sabit sürücüden ayrı olarak kendine özgü bir flash yongada yer alması, işletim sistemi tamamen silinip yeniden yüklense bile tehdidin cihazda yer almaya devam edeceği anlamına geliyor.
Kaspersky araştırmacıları, MosaicRegressor olarak adlandırılan karmaşık, çok aşamalı modüler bir kampanyada bu tür kötü amaçlı yazılımların bir örneğini buldular. Yeni keşfedilen bu kampanya, casusluk ve UEFI’ye yerleşen kötü amaçlı yazılım sayesinde veri toplama için kullanıldı.
UEFI bootkit bileşenleri, ağırlıklı olarak Hacking Team tarafından geliştirilen ve kaynak kodu 2015’te çevrimiçi olarak sızdırılan ‘Vector-EDK’ önyükleme setine dayanıyor. Sızan kod, büyük olasılıkla failler tarafından çok az bir geliştirme çabasıyla kendi yazılımlarını oluşturmak riski azaltmak için kullanıldı.
Saldırılar, 2019’un başından beri Kaspersky ürünlerine dahil edilen Firmware Scanner yardımıyla tespit edildi. Bu teknoloji, UEFI bellenim görüntüleri de dahil olmak üzere ROM BIOS’ta gizlenen tehditleri tespit etmek için özel olarak geliştirildi.
Saldırganların orijinal UEFI aygıt yazılımının üzerine yazmasına izin veren kesin bulaşma vektörünü tespit etmek mümkün olmasa da, Kaspersky araştırmacıları, sızdırılan Hacking Team belgelerinden VectorEDK hakkında bilinenlere dayanarak bunun nasıl yapılacağına dair olasılıkları çıkardılar. Diğer seçenekleri göz ardı etmemekle birlikte virüs muhtemelen kurbanın makinesine fiziksel erişim yoluyla, özellikle özel bir güncelleme yardımcı programı içeren önyüklenebilir bir USB bellek yardımıyla giriş yapıyor. İlk bulaşma sonrası Truva atı indiricisi devreye girerek saldırganın ihtiyaçlarına uygun herhangi bir zararlı kodun işletim sistemi çalışır durumdayken indirilmesini sağlıyor.
Bununla birlikte çoğu durumda MosaicRegressor bileşenleri çok daha basit yollarla, örneğin mesaj eklerindeki sahte arşivlere gizlenmiş dosyaların seçilen hedeflere gönderilmesiyle cihazlara sızdırıldı. Kampanyanın modüler yapısı, saldırıların geniş bir alana yayılarak analizlerden gizlenmesine ve bileşenlerin yalnızca hedeflenen cihazlara gönderilmesine yardımcı oldu. Virüs bulaşmış cihaza başlangıçta yüklenen kötü amaçlı yazılım, ek yük ve diğer kötü amaçlı yazılımları indirebilen bir program olan Truva atı indiricisinden oluşuyor. İndirilen yüke bağlı olarak, kötü amaçlı yazılım keyfi URL’lerden rastgele dosyalar indirip yükleyerek hedeflenen makineden bilgi toplayabiliyor.
Keşfedilen kurbanların bağlantısına dayanarak, araştırmacılar MosaicRegressor’ın Afrika, Asya ve Avrupa’dan diplomatlara ve STK üyelerine yönelik bir dizi hedefli saldırıda kullanıldığını belirledi. Saldırıların bazıları Rus dilinde hedefli kimlik avı belgeleri içeriyordu. Bazıları ise Kuzey Kore ile ilgiliydi ve kötü amaçlı yazılımları indirmek için yem olarak kullanılıyordu.
Kampanyanın bilinen herhangi bir gelişmiş kalıcı tehdit aktörüyle bağlantısına rastlanmadı.
Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT) Kıdemli Güvenlik Araştırmacısı Mark Lechtik, şunları söylüyor: “UEFI saldırıları tehdit aktörleri için geniş fırsatlar sunsa da, MosaicRegressor bir tehdit aktörünün vahşi ortamda özel yapılmış, kötü niyetli bir UEFI ürün yazılımı kullandığı, kamuya açık olarak bilinen ilk vakadır. Serbest ortamda önceden gözlemlenen benzer saldırılar, meşru bir yazılımın (örneğin LoJax) basitçe yeniden tasarlanmasıyla gerçekleştiriliyordu. Oysa bu saldırı, istisnai durumlarda saldırganların kurbanın makinesinde en yüksek düzeyde kalıcılığı elde etmek için büyük çaba sarf etmeye istekli olduğunu gösteriyor. Tehdit aktörleri araç setlerini çeşitlendirmeye ve yaratıcılığını kullanmaya devam ediyor.”
Kaspersky GReAT Baş Güvenlik Araştırmacısı Igor Kuznetsov da şunları ekliyor: “Sızan üçüncü taraf kaynak kodunun kullanılması ve yeni, gelişmiş bir kötü amaçlı yazılım olarak özelleştirilmesi, veri güvenliğinin önemini bizlere bir kez daha hatırlatıyor. Zararlı yazılım – bir önyükleme seti, kötü amaçlı yazılım veya başka bir şey olsun – bir kez sızdırıldığında, tehdit aktörleri önemli bir avantaj elde eder. Ücretsiz olarak kullanılabilen araçlar, onlara araç setlerini daha az çabayla ve daha düşük tespit edilme şansıyla geliştirme ve özelleştirme fırsatı sunuyor.”