Обнаружено новое вредоносное ПО для заражения компьютера на низком уровне
Антивирусная компания «Лаборатория Касперского» сообщила об обнаружении целевой кампании кибершпионажа с использованием сложной модульной структуры MosaicRegressor, куда, в том числе, входит буткит для встроенной в материнскую плату микропрограммы UEFI (Unified Extensible Firmware Interface). В компании отмечают, что на данный момент это первый случай заражения UEFI при помощи специально разработанного для такого типа атак вредоносного ПО.
UEFI загружается ещё до операционной системы и контролирует все процессы на «раннем старте». Отсюда и главная опасность, связанная с компрометацией этой среды: если внести изменения в код UEFI, можно получить полный контроль над компьютером. Например, изменить память, содержание диска или, как в случае с буткитом MosaicRegressor, заставить операционную систему запустить вредоносный файл. А поскольку речь идёт о низкоуровневой вредоносной программе, избавиться от неё не поможет ни замена жёсткого диска, ни переустановка ОС.
В ходе исследования инфраструктуры MosaicRegressor «Лаборатория Касперского» также установила, что в основу компонентов буткита UEFI положен код Vector-EDK. Это специальный конструктор, который был создан кибергруппой Hacking Team и в том числе содержит инструкцию по созданию модуля для перепрошивки UEFI. В 2015 году эти и другие исходники Hacking Team в результате утечки оказались в свободном доступе, что позволило злоумышленникам создать собственное программное обеспечение с минимальными усилиями: они просто дополнили исходный код вредоносным компонентом.
