Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Descubren un bootkit en UEFI utilizado para espiar instalado por un grupo Chino


Investigadores de seguridad de Kaspersky han descubierto que un grupo de hackers chinos estaban utilizando un bootkit instalado en la UEFI (BIOS) del ordenador.. El bootkit se utilizó para instalar MosaicRegressor, un kit de herramientas de espionaje. Los objetivos incluyeron entidades diplomáticas y ONG en África, Asia y Europa y el bootkit probablemente fue instalado con acceso físico

 


  • Se trata módulos maliciosos en la UEFI para descarga de malware y mantener  persistencia.

Se ha observado que un grupo de piratas informáticos de habla china utiliza un kit de arranque UEFI para descargar e instalar malware adicional en equipos específicos.

El firmware UEFI es un componente crucial para cada computadora. Este firmware crucial dentro de una memoria flash atornillada a la placa base y controla todos los componentes de hardware de la computadora y ayuda a arrancar el sistema operativo real para el usuario (como Windows, Linux, macOS, etc.).

Los ataques al firmware UEFI son el Santo Grial de todos los grupos de piratas informáticos, ya que plantar código malicioso aquí le permite sobrevivir a las reinstalaciones del sistema operativo.

No obstante, a pesar de estos beneficios, los ataques de firmware UEFI son raros porque la manipulación de este componente es particularmente difícil, ya que los atacantes necesitan acceso físico al dispositivo o necesitan comprometer objetivos a través de ataques complejos a la cadena de suministro donde el firmware UEFI o las herramientas que funcionan con firmware UEFI se modifican para insertar código malicioso.

En una charla en la conferencia de seguridad virtual de SAS hoy, los investigadores de seguridad de Kaspersky dijeron que detectaron la segunda instancia conocida de un ataque generalizado que aprovecha el código malicioso implantado en la UEFI.

El primero, revelado por ESET en 2018, fue supuestamente realizado por Fancy Bear, uno de los grupos de hackers patrocinados por el estado de Rusia. Este segundo es obra de hackers de habla china, según Kaspersky.


Bootkit UEFI utilizado para implementar el nuevo malware MosaicRegressor


La compañía dijo que descubrió estos ataques después de que el módulo Firmware Scanner de la compañía marcara dos computadoras como sospechosas.


En su charla, los investigadores de malware de Kaspersky Mark Lechtik e Igor Kuznetsov dijeron que investigaron los sistemas marcados y encontraron código malicioso dentro del firmware UEFI marcado. Este código, dijeron, fue diseñado para instalar una aplicación maliciosa (como un programa de ejecución automática) después de que se inicie cada computadora.

Este programa de ejecución automática inicial actuó como un descargador de otros componentes de malware, que Kaspersky denominó el marco de malware MosaicRegressor.

Kaspersky dijo que todavía tiene que obtener y analizar todos los componentes de MosaicRegressor, pero el que sí vieron contenía la funcionalidad para recopilar todos los documentos de la carpeta "Documentos recientes" y ponerlos en un archivo protegido con contraseña, lo más probable es que preparen el archivos para exfiltración a través de otro componente.

Los investigadores dijeron que encontraron el kit de arranque UEFI en solo dos sistemas, pero encontraron componentes MosaicRegressor en una multitud de otras computadoras.

Sin embargo, los objetivos de estos ataques fueron seleccionados cuidadosamente. Todos eran entidades diplomáticas y ONG de África, Asia y Europa.

"Basándonos en la afiliación de las víctimas descubiertas, pudimos determinar que todas tenían alguna conexión con la RPDC [Corea del Norte], ya sea una actividad sin fines de lucro relacionada con el país o una presencia real dentro de él", dijo Kaspersky.


Basado en malware filtrado de HackingTeam


Pero Kasperksy también hizo otro descubrimiento importante al analizar estos ataques. El código malicioso UEFI no era exactamente nuevo. Según su análisis, el código se basó en VectorEDK, que es una utilidad de piratería para atacar el firmware UEFI, creada por HackingTeam, un proveedor italiano ahora desaparecido de herramientas de piratería, exploits y software de vigilancia.

La compañía fue hackeada en 2015 por Phineas Fisher y sus herramientas se descargaron en línea, incluido el kit de herramientas VectorEDK. Según su manual, la herramienta fue diseñada para ser utilizada con acceso físico a la computadora de la víctima.

Kaspersky dice que, en base a las similitudes entre VectorEDK y la versión modificada utilizada por el grupo chino, el grupo chino probablemente también implementó su herramienta utilizando el acceso físico a las computadoras de sus objetivos.

El informe completo de la empresa sobre estos ataques está disponible en formato PDF de 30 páginas aquí:



Fuente:

https://www.zdnet.com/article/chinese-hacker-group-spotted-using-a-uefi-bootkit-in-the-wild/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.