[English]Sicherheitsforscher von Kaspersky sind bei Kunden auf Schadfunktionen gestoßen, die im UEFI des Mainboard von Geräten installiert war. Die Schadfunktionen waren Teil eines größeren Framework für Malware, die Kaspersky MosaicRegressor getauft hat.
Kurzinfo UEFI/BIOS
UEFI (oder Unified Extensible Firmware Interface) ersetzt auf modernen Hauptplatinen das in die Jahre gekommene BIOS (Basic Input Output System). Das UEFI ist letztendlich eine Spezifikation, die die Struktur und den Betrieb von Low-Level-Plattformfirmware festlegt und Funktionen bereitstellt, so dass das Betriebssystem in verschiedenen Phasen seiner Aktivität mit der Hardware interagieren kann. UEFI-Funktionen werden verwendet, um die Boot-Sequenz des Systems auszuführen und das Betriebssystem zu laden. Durch diese zentrale Funktion ist das UEFI zur Zielscheibe von Cyber-Kriminellen geworden. Denn eine Infektion des UEFI übersteht auch die Neuinstallation des Betriebssystems und wird von den üblichen Sicherheitstools nicht gefunden.
Ein Leak vor 5 Jahren
Im Jahr 2015 gab es ein Leck des Hacking-Teams, bei dem der Quellcode eines UEFI-Bootkits namens VectorEDK in den geleakten Dateien gefunden wurde. Dieser Code bestand aus einer Reihe von UEFI-Modulen, die in die Plattformfirmware integriert werden konnten. Ziel war es, eine Hintertür zum System einzurichten, die beim Laden des Betriebssystems geöffnet wird und so den Akteuren den Zugriff ermöglicht. Trotz der Tatsache, dass der Code von VectorEDK veröffentlicht wurde und auf Github zu finden ist, hatte Kaspersky bis zum aktuellen Fund keine konkreten Beweise dafür, dass so etwas in der freien Wildbahn auftaucht.
Allerdings gab es in den letzten Jahren in mehreren Fällen Angriffe auf das UEFI. ESET entdeckte im Jahr 2018 das LowJax-Rootkit. Dort wurden gepatchte UEFI-Module der Anti-Diebstahl-Software LoJack (auch bekannt als Computrace) verwendet, um einen bösartigen User-Mode-Agenten in einer Reihe von Maschinen diverser Sofacy \ Fancy Bear-Opfer einzuschleusen Die Gefahren von Computrace wurden von Sicherheitsspezialisten von Global Research and Analysis Team (GReAT) bereits 2014 beschrieben.
Entdeckung von MosaicRegressor
Während einer Untersuchung diverser Maschinen stießen die Sicherheitsforscher auf mehrere verdächtige UEFI-Firmware-Images, die sie dann genauer untersuchten. Die Analyse ergab, dass die modifizierten UEFI-Firmware-Images vier Komponenten enthielten, die in ihren zugewiesenen GUID-Werten Ähnlichkeiten aufwiesen. Es handelte sich um zwei DXE-Treiber und zwei UEFI-Anwendungen. Nach weiterer Analyse stellten die Kaspersky-Sicherheitsforscher fest, dass es sich um geringfügig modifizierte Varianten der betreffenden Elemente auf dem Quellcode des VectorEDK-Bootkits von HackingTeam basierten.
Das Ziel dieser hinzugefügten UEFI-Module ist es, eine Infektionskette beim Booten der Maschine auszuführen, die eine bösartige ausführbare Datei namens „IntelUpdate.exe“ in den Windows Startup-Ordner des Opfers speichert. Wird Windows dann vom Opfer gestartet, führt es automatisch die Malware aus. Durch den Ansatz übersteht die Malware-Infektion jeglichen Versuch, die in Windows injizierten Malware-Komponenten von der Festplatte zu entfernen. Denn die UEFI-Infektion sorgt beim nächsten Booten dafür, dass die Malware erneut in Windows injiziert wird. Einige Lösung ist es, die infizierte UEFI-Firmware zu entfernen.
MosaicRegressor ist ein mehrstufiges und modulares Framework an Malware, das auf Spionage und Datensammlung abzielt. Es besteht aus Downloadern und mehreren Zwischenladern, die Nutzlast auf den Rechnern der Opfer abrufen und ausführen sollen. Da das Framework aus mehreren Modulen besteht, hilft dies den Angreifern, das gesamte Framework vor der Analyse zu verbergen und Komponenten nur bei Bedarf auf den Zielmaschinen einzusetzen. Die Sicherheitsforscher konnten während der Untersuchung nur eine Handvoll Nutzlastkomponenten identifizieren, die auf die Opfermaschinen geladen wurden. In der Malware waren Mail-Adressen einer russischen Domain fest codiert.
Wer sind die Opfer
Die Kaspersky-Telemetrie (die wohl über Kaspersky Sicherheitssoftware Teile der Infektionskette erkannte und meldete) legt nahe, dass es mehrere Dutzend Opfer gab. Diesen wurden zwischen 2017 und 2019 Komponenten aus dem MosaicRegressor-Framework auf die Rechner injiziert. Als Opfer nennt Kaspersky allgemein diplomatische Einrichtungen und NGOs in Afrika, Asien und Europa. Nur zwei von ihnen wurden 2019 auch mit dem UEFI-Bootkit infiziert.
Auf der Grundlage der Gemeinsamkeiten der entdeckten Opfer konnten die SIcherheitsanalysten feststellen, dass alle eine gewisse Verbindung zur DVRK (Nordkorea) hatten, sei es durch gemeinnützige Aktivitäten im Zusammenhang mit dem Land oder durch die tatsächliche Präsenz im Land. Dieser Verdacht wird durch einen der Infektionsvektoren, die zur Verbreitung der Malware an einige der Opfer verwendet wurden, verstärkt. Es wurden nämlich SFX-Archive verschickt, die vorgaben, Dokumente zu enthalten, in denen verschiedene Themen im Zusammenhang mit Nordkorea behandelt wurden. Diese wurden sowohl mit einem eigentlichen Dokument als auch mit MosaicRegressor-Varianten gebündelt, die beide beim Öffnen des Archivs ausgeführt wurden.
Eine weitergehende Analyse legt den Verdacht nahe, dass die Urheber des MosaicRegressor-Framework in China oder in Korea zu finden sind (bestimmte Zeichenketten verweisen auf die in diesen Ländern benutzten Zeichensätzen für deren Sprachen). Eine umfangreichere Analyse der Module ist in diesem Blog-Beitrag von Kaspersky zu finden.
FYI:
Ein Leak vor 5 Jahren
Im Jahr 20215 gab
sollte vermutlich 2015 heißen
„Das Ziel dieser hinzugefügten UEFI-Module ist es, eine Infektionskette beim Booten der Maschine auszuführen, die eine bösartige ausführbare Datei namens “IntelUpdate.exe” in den Windows Startup-Ordner des Opfers speichert. Wird Windows dann vom Opfer gestartet, führt es automatisch die Malware aus.“
AUTSCH!
Die in diesem „Windows Startup-Ordner“, d.h. „%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup“ liegenden Programme werden NICHT beim Booten ausgeführt, sondern bei der Benutzeranmeldung.
Jeder nicht völlig merkbefreite Windows-Missbraucher sollte 19 Jahre nach Einführung von SAFER alias Software Restriction Policies das Ausführen von Programmen nicht nur in diesem Ordner unterbunden haben.
Kurz: es trifft mal wieder nur die Dummen!
Der Bootvorgang ist beendet wenn alles gestartet ist, dazu gehören auch die Programme im Autostart. Von daher ist die Aussage von Günter korrekt.
Ob man den Startup-Ordner zum Bootvorgang zählt oder nicht, ist irrelevant. Windows ist zu dem Zeitpunkt jedenfalls fertig gestartet. Der Sinn des Kommentars ist doch offensichtlich der, dass man sich ganz einfach vor solchen Angriffen schützen kann.