De UEFI-bootkit die bij de malware wordt gebruikt, is een aangepaste versie van de firmware-bootkit van Hacking Team, gelekt in 2015. Wanneer de UEFI-firmware wordt gewijzigd en bijvoorbeeld schadelijke code bevat, wordt die code nog vóór het besturingssysteem gestart. Dit maakt de activiteit ervan onzichtbaar voor beveiligingsoplossingen, waarschuwt Kaspersky.

Bijzonder volhardend

In combinatie met het feit dat de firmware zich op een flash-chip bevindt die gescheiden is van de harde schijf, zijn aanvallen op UEFI bijzonder volhardend. De malware die door de bootkit is geplaatst, blijft namelijk op het apparaat, ongeacht hoe vaak het besturingssysteem opnieuw wordt geïnstalleerd.

Kaspersky vond een sample van deze malware, gebruikt in een campagne waarin varianten van een complex modulair framework werden geïmplementeerd, genaamd MosaicRegressor. Het framework werd gebruikt voor spionage en gegevensverzameling, waarbij UEFI-malware een van de persistentiemethoden was.

Bootkit van Hacking Team

De onthulde UEFI-bootkitcomponenten waren sterk gebaseerd op de Vector-EDK-bootkit van Hacking Team, waarvan de broncode online werd gelekt in 2015. Die code stelde kwaadwilligen in staat om hun eigen software te bouwen met weinig inspanning én weinig kans op ontdekking. Volgens Kaspersky zijn de infecties vermoedelijk gebeurd door fysieke toegang tot de machine van het slachtoffer. Hoogstwaarschijnlijk met een opstartbare USB-sleutel, die een speciaal updateprogramma zou bevatten. De gepatchte firmware zou dan de installatie van een Trojan-downloader vergemakkelijken.

Op basis van de banden met de gevonden slachtoffers konden de onderzoekers vaststellen dat MosaicRegressor werd gebruikt bij een reeks gerichte aanvallen op diplomaten en leden van ngo's uit Afrika, Azië en Europa.

De UEFI-bootkit die bij de malware wordt gebruikt, is een aangepaste versie van de firmware-bootkit van Hacking Team, gelekt in 2015. Wanneer de UEFI-firmware wordt gewijzigd en bijvoorbeeld schadelijke code bevat, wordt die code nog vóór het besturingssysteem gestart. Dit maakt de activiteit ervan onzichtbaar voor beveiligingsoplossingen, waarschuwt Kaspersky.In combinatie met het feit dat de firmware zich op een flash-chip bevindt die gescheiden is van de harde schijf, zijn aanvallen op UEFI bijzonder volhardend. De malware die door de bootkit is geplaatst, blijft namelijk op het apparaat, ongeacht hoe vaak het besturingssysteem opnieuw wordt geïnstalleerd. Kaspersky vond een sample van deze malware, gebruikt in een campagne waarin varianten van een complex modulair framework werden geïmplementeerd, genaamd MosaicRegressor. Het framework werd gebruikt voor spionage en gegevensverzameling, waarbij UEFI-malware een van de persistentiemethoden was.De onthulde UEFI-bootkitcomponenten waren sterk gebaseerd op de Vector-EDK-bootkit van Hacking Team, waarvan de broncode online werd gelekt in 2015. Die code stelde kwaadwilligen in staat om hun eigen software te bouwen met weinig inspanning én weinig kans op ontdekking. Volgens Kaspersky zijn de infecties vermoedelijk gebeurd door fysieke toegang tot de machine van het slachtoffer. Hoogstwaarschijnlijk met een opstartbare USB-sleutel, die een speciaal updateprogramma zou bevatten. De gepatchte firmware zou dan de installatie van een Trojan-downloader vergemakkelijken. Op basis van de banden met de gevonden slachtoffers konden de onderzoekers vaststellen dat MosaicRegressor werd gebruikt bij een reeks gerichte aanvallen op diplomaten en leden van ngo's uit Afrika, Azië en Europa.