By Odisseus

McAfee lancia l’allarme: in queste ore sta colpendo diversi paesi tra cui l’Italia e Israele. Il malware è veicolato mediante un UEFI implant, lo stesso usato in passato da Hacking Team

In un recente tweet di Raj Samani, Chief Scientist a McAfee, si scopre che il malware MosaicRegressor in queste ore sta colpendo diversi paesi tra cui l’Italia. I settori sotto attacco risultano ignoti, come lo è chi si celi dietro alla cyber offensiva. Ciò anche se alcuni analisti di cybersecurity ritengono che possano essere gruppi di hacker legati alla Cina. L’unica consolazione è che siamo in buona compagnia, con noi ci sono:

• Stati Uniti
• Ungheria
• Estonia
• Israele
• India
• Belgio
• Ukraina
• Sud Africa

Peraltro, che ci sia Israele tra gli obiettivi ha una sua rilevanza, allo stesso modo del fatto che il vettore d’attacco sono gli UEFI implant, ben noti in quanto largamente usati da Hacking Team, l’azienda di cybersecurity italiana che vendeva spyware in tutto il mondo e che fu distrutta anni fa da ignoti.

Che cosa sono gli UEFI Implant

Forse non tutti sanno cosa significa UEFI: è un acronimo che sta per “Unified Extensible Firmware Interface” ed è una tecnologia il cui “software” risiede nell’hardware del computer stesso. Si occupa dell’accensione del PC, controllando il funzionamento di tutte le periferiche, interagendo e lanciando il sistema operativo. Sintetizzando molto, possiamo dire: è una specifica che definisce la struttura operativa di basso livello di un sistema, un ambiente ricco di funzionalità, con cui si può interagire mentre il computer è acceso e funzionante. Quindi, paradossalmente, si tratta di un componente “immodificabile” dedicato alla partenza del PC, che può essere invece “modificato” nei suoi moduli attraverso l’interfaccia: per questo ha iniziato ad essere preso di mira da gruppi del cybercrime al fine di realizzare attacchi di natura persistente.

La persistenza degli UEFI infetti è data dal fatto che questi risiedono nell’hardware del computer

La persistenza è data dal fatto che un UEFI infetto non potrà essere “disinfettato” dai classici antivirus e neanche dalla più drastica delle operazioni: la reinstallazione ex-novo del sistema operativo o la sostituzione del disco rigido. Ciò in quanto il “virus” risiede, oramai, nell’hardware del computer. Al momento, di questo tipo di “implant”, come vengono definiti in gergo, se ne contano un paio di casi. Una di queste scoperte “pubbliche” è datata 2018 e ha il nome di LowJax, scoperto dagli esperti di cybersecurity di ESET, il quale venne usato da Sofacy (alias FancyBear) per infettare una serie di utenti.

La distruzione dell’italiana Hacking Team portò alla scoperta dei suoi armament e in particolare dello UEFI implant VectorEDK

Quando Hacking Team, l’azienda italiana che vendeva spyware in tutto il mondo, fu attaccata e distrutta, tutti i suoi exploit furono rivelati pubblicamente grazie alla diffusione del codice sorgente dei propri armament. Il mondo conobbe anche VectorEDK, un altro UEFI Implant. Questo codice consiste in una serie di moduli UEFI, i quali, incorporati in un UEFI originale e benigno, possono invece installare una “backdoor” ogni volta che il computer parte: ciò permette a un attore malevolo di entrare appunto dalla “porta di servizio” di un dispositivo e spiare qualsiasi cosa si stia facendo sul PC. Messaggi privati, posta, immagini, conversazioni, documenti riservati, tutto diventa visibile all’occhio invisibile dello spyware.

Qualcuno sta usando i moduli UEFI dell’azienda di cybersecurity italiana per iniettare il malware MosaicRegressor nei computer dei bersagli

La notizia eclatante è che questi “moduli” UEFI di Hacking Team sono ancora ovviamente disponibili e utilizzabili su Internet, tanto che chiunque può scaricarli, modificarli e renderli di nuovo velenosi. Sembrerebbe, infatti, che qualcuno l’abbia già fatto: ed è stato così che i ricercatori di Kaspersky hanno individuato un clone, “leggermente” modificato, dell’exploit dell’azienda di cybersecurity italiana, come hanno riportato in un ottimo studio (per addetti ai lavori e di taglio molto tecnico) di qualche giorno fa. Il “nuovo” UEFI Implant, quasta volta, invece di infettare la vittima con i vecchi spyware di Hacking Team (Soldier’, ‘Scout’ or ‘Elite’) ora usa “MosaicRegressor”. Interessante notare come su Internet si trovi ancora il “manuale utente” usato a suo tempo da Hacking Team per guidare i propri “consulenti” nell’installazione di una “Persistent Installation” del proprio Implant. Il sospetto di Kaspersky, peraltro, è che una versione aggiornata di questo “implant” possa sfruttare una capacità di infezione “da remoto” non ancora identificata.

Che cos’è il malware MosaicRegressor

MosaicRegressor è il solito framework multistadio e modulare, finalizzato allo spionaggio e alla raccolta di dati. Consiste di “downloader” e, occasionalmente, di più loader intermedi, che hanno lo scopo di recuperare ed eseguire payload sui computer della vittima. Il fatto che sia composto da più moduli aiuta gli attaccanti a nasconderlo più facilmente ai ricercatori di cybersecurity he studiano il codice binario dei malware, oltre che a distribuire componenti su macchine target solo all’occorrenza. Avviene così che, anche se scoperto su un dispositivo, non è possibile impadronirsi di tutti i suoi componenti, ma solo di alcune parti. Ovvero di quelle che sono state “sparate” contro quella vittima. Ad esempio in funzione dell’esigenza di spiare conversazioni Whatsapp o Telegram, il codice malevolo “caricava” anche questa funzionalità. Serviva carpire le sue credenziali su Facebook o rubare il suo accesso sulla banca? Bastava scaricare il modulo ad hoc. In altre parole, questi framework, hanno moduli per ogni esigenza che vengono “inviati” alla vittima a seconda delle esigenze del cybercrime. Stando a quello che dice lo studio di Kaspersky, inoltre, sembra che le vittime di questo malware includano personalità diplomatiche e membri di gruppi non governativi, attaccati dal 2017 al 2019 in Africa, Asia ed Europa.

L’Autore

Odisseus è un esperto di sicurezza informatica tra i meno allineati in Italia: ha all’attivo molti scoop ed interviste sui giornali nazionali ed è noto per le sue posizioni critiche in generale nei confronti della strategia nazionale sulla cybersecurity. Frequenta ambienti industriali e universitari quel tanto che basta per ricordarsi di starne lontano.