Successivo
MosaicRegressor rootkit UEFI

Software

MosaicRegressor, nuovo rootkit UEFI scoperto dai ricercatori

Alfonso Maruccia | 8 Ottobre 2020

Malware Sicurezza UEFI

Kaspersky ha individuato e analizzato MosaicRegressor, minaccia informatica complessa e altamente pericolosa che sfrutta un rootkit in grado di infettare i livelli più bassi e inaccessibili di un sistema informatico.

Nel 2018 fece scalpore la notizia della scoperta di LoJax, primo rootkit conosciuto in grado di compromettere il firmware UEFI del PC garantendosi un livello di persistenza senza precedenti. Ora la storia si ripete con MosaicRegressor, nuovo rootkit UEFI scovato dalla società di sicurezza Kaspersky. L’obiettivo è sempre lo stesso, vale a dire attacchi APT (Advanced-Persistent Threat) e spionaggio contro target particolarmente sensibili.

MosaicRegressor è una minaccia informatica piuttosto complessa grazie a un design modulare, spiega la security enterprise moscovita, ed è stata adoperata dagli hacker cinesi per operazioni di intelligence contro almeno due organizzazioni non governative (ONG) nel corso del 2019. La natura modulare del malware rende l’analisi complicata e giocoforza incompleta, visto che i cyber-criminali possono decidere in autonomia quali componenti installare (da remoto) a seconda della macchina infetta e del bersaglio.

UEFI

Il rootkit UEFI scoperto da Kaspersky è una versione custom del bootkit VectorEDK di Hacking Team, la società italiana specializzata in spionaggio informatico che ha subito l’oramai famigerato leak di dati e documenti riservati negli anni passati. Il riutilizzo del codice di HT ha permesso agli autori di MosaicRegressor di risparmiare tempo, rendendo il lavoro di sviluppo del malware molto più agile.

Stando a quanto sostiene Kaspersky, al momento non è noto come i criminali cinesi siano riusciti a compromettere il firmware UEFI scovato dai ricercatori. Le immagini infette del firmware (in grado di reinstallare i componenti del malware anche dopo la re-inizializzazione del sistema operativo) potrebbero essere state installate con l’accesso diretto al PC, in fase di assemblaggio o attraverso altri metodi ancora sconosciuti.