Donanıma gömülü UEFI yazılımı, bilgisayara yüklü işletim sistemi ve bunun üzerinde yer alan öteki tüm programlardan evvel çalışmaya başlayan bilgisayarın kıymetli bir kesimi. UEFI yazılımı bir formda berbat hedefli kod içerecek halde değiştirilirse, bu kod işletim sisteminden evvel başlatılıyor ve bu da saldırıyı güvenlik tahlilleri açısından potansiyel olarak görünmez hale getiriyor. UEFI verisinin sabit şoförden başka olarak kendine mahsus bir flash yongada yer alması, işletim sistemi büsbütün silinip tekrar yüklense bile tehdidin aygıtta yer almaya devam edeceği manasına geliyor.
Kaspersky araştırmacıları, MosaicRegressor olarak isimlendirilen karmaşık, çok evreli modüler bir kampanyada bu cins berbat hedefli yazılımların bir örneğini buldular. Yeni keşfedilen bu kampanya, casusluk ve UEFI’ye yerleşen berbat gayeli yazılım sayesinde bilgi toplama için kullanıldı.
UEFI bootkit bileşenleri, yüklü olarak Hacking Team tarafından geliştirilen ve kaynak kodu 2015’te çevrimiçi olarak sızdırılan ‘Vector-EDK’ önyükleme setine dayanıyor. Sızan kod, büyük olasılıkla failler tarafından çok az bir geliştirme eforuyla kendi yazılımlarını oluşturmak riski azaltmak için kullanıldı.
Ataklar, 2019’un başından beri Kaspersky eserlerine dahil edilen Firmware Scanner yardımıyla tespit edildi. Bu teknoloji, UEFI bellenim imajları de dahil olmak üzere ROM BIOS’ta gizlenen tehditleri tespit etmek için özel olarak geliştirildi.
Saldırganların özgün UEFI aygıt yazılımının üzerine yazmasına müsaade veren kesin bulaşma vektörünü tespit etmek mümkün olmasa da, Kaspersky araştırmacıları, sızdırılan Hacking Team dokümanlarından VectorEDK hakkında bilinenlere dayanarak bunun nasıl yapılacağına dair olasılıkları çıkardılar. Öbür seçenekleri göz arkası etmemekle birlikte virüs muhtemelen kurbanın makinesine fizikî erişim yoluyla, bilhassa özel bir güncelleme yardımcı programı içeren önyüklenebilir bir USB bellek yardımıyla giriş yapıyor. Birinci bulaşma sonrası Truva atı indiricisi devreye girerek saldırganın gereksinimlerine uygun rastgele bir ziyanlı kodun işletim sistemi çalışır durumdayken indirilmesini sağlıyor.
Bununla birlikte birçok durumda MosaicRegressor bileşenleri çok daha kolay yollarla, örneğin ileti eklerindeki uydurma arşivlere gizlenmiş belgelerin seçilen amaçlara gönderilmesiyle aygıtlara sızdırıldı. Kampanyanın modüler yapısı, akınların geniş bir alana yayılarak tahlillerden gizlenmesine ve bileşenlerin sırf hedeflenen aygıtlara gönderilmesine yardımcı oldu. Virüs bulaşmış aygıta başlangıçta yüklenen makus gayeli yazılım, ek yük ve başka makûs emelli yazılımları indirebilen bir program olan Truva atı indiricisinden oluşuyor. İndirilen yüke bağlı olarak, makûs emelli yazılım keyfi URL’lerden rastgele evraklar indirip yükleyerek hedeflenen makineden bilgi toplayabiliyor.
Keşfedilen kurbanların temasına dayanarak, araştırmacılar MosaicRegressor’ın Afrika, Asya ve Avrupa’dan diplomatlara ve STK üyelerine yönelik bir dizi maksatlı akında kullanıldığını belirledi. Taarruzların kimileri Rus lisanında gayeli kimlik avı evrakları içeriyordu. Kimileri ise Kuzey Kore ile ilgiliydi ve berbat hedefli yazılımları indirmek için yem olarak kullanılıyordu.
Kampanyanın bilinen rastgele bir gelişmiş kalıcı tehdit aktörüyle kontağına rastlanmadı.
Kaspersky Global Araştırma ve Tahlil Takımı (GReAT) Kıdemli Güvenlik Araştırmacısı Mark Lechtik, şunları söylüyor: “UEFI akınları tehdit aktörleri için geniş fırsatlar sunsa da, MosaicRegressor bir tehdit aktörünün yırtıcı ortamda özel yapılmış, makus niyetli bir UEFI eser yazılımı kullandığı, kamuya açık olarak bilinen birinci olaydır. Özgür ortamda evvelden gözlemlenen misal hücumlar, yasal bir yazılımın (örneğin LoJax) basitçe tekrar tasarlanmasıyla gerçekleştiriliyordu. Meğer bu taarruz, istisnai durumlarda saldırganların kurbanın makinesinde en yüksek seviyede kalıcılığı elde etmek için büyük uğraş sarf etmeye istekli olduğunu gösteriyor. Tehdit aktörleri araç setlerini çeşitlendirmeye ve yaratıcılığını kullanmaya devam ediyor.”
Kaspersky GReAT Baş Güvenlik Araştırmacısı Igor Kuznetsov da şunları ekliyor: “Sızan üçüncü taraf kaynak kodunun kullanılması ve yeni, gelişmiş bir makûs hedefli yazılım olarak özelleştirilmesi, data güvenliğinin değerini bizlere bir sefer daha hatırlatıyor. Ziyanlı yazılım – bir önyükleme seti, makus emelli yazılım yahut öbür bir şey olsun – bir sefer sızdırıldığında, tehdit aktörleri değerli bir avantaj elde eder. Fiyatsız olarak kullanılabilen araçlar, onlara araç setlerini daha az eforla ve daha düşük tespit edilme talihiyle geliştirme ve özelleştirme fırsatı sunuyor.”
