JAKARTA (IndoTelko) - Peneliti Kaspersky menemukan kampanye spionase advanced persistent threat (APT) lanjutan menggunakan jenis malware yang sangat jarang terlihat dan dikenal sebagai Bootkit Firmware.
Malware baru ini terdeteksi oleh teknologi pemindaian UEFI/BIOS Kaspersky, yang bertugas menelusuri ancaman baik yang dikenal maupun tidak.
Teknologi pemindaian mengidentifikasi malware yang sebelumnya tidak dikenal di Unified Extensible Firmware Interface (UEFI), bagian penting dari perangkat komputer modern, sehingga sangat sulit untuk mendeteksi dan menghapus dari perangkat yang terinfeksi. Bootkit UEFI digunakan dengan malware versi khusus bootkit tim peretasan, yang bocor pada tahun 2015.
Firmware UEFI adalah bagian penting dari komputer, sebelum sistem operasi dan semua program diinstal di dalamnya. Jika firmware UEFI entah bagaimana dimodifikasi untuk memuat kode berbahaya, kode tersebut akan diluncurkan sebelum sistem operasi, membuat aktivitasnya berpotensi tidak terlihat oleh solusi keamanan.
Fakta bahwa firmware itu sendiri berada pada chip flash yang terpisah dari hard drive, membuat serangan terhadap UEFI sangat tidak pasti dan berkelanjutan - infeksi firmware pada dasarnya berarti, terlepas dari berapa kali sistem operasi telah diinstal ulang, malware yang ditanam oleh bootkit akan tetap ada di perangkat.
Peneliti Kaspersky menemukan sampel malware semacam itu yang digunakan dalam kampanye yang menerapkan varian kerangka kerja modular multi-tahap kompleks dan dijuluki sebagai MosaicRegressor. Kerangka kerja tersebut digunakan untuk spionase dan pengumpulan data dengan malware UEFI menjadi salah satu metode persistensi untuk malware baru yang sebelumnya tidak dikenal.
Komponen bootkit UEFI ini sangat didasarkan pada bootkit 'Vector-EDK' yang dikembangkan oleh Tim Peretasan dan merupakan kode sumber yang kala itu bocor secara online pada tahun 2015. Kode yang bocor kemungkinan besar memungkinkan pelaku membangun perangkat lunak mereka sendiri dengan sedikit pengembangan dan mengurangi risiko untuk terekspos.
Serangan tersebut ditemukan dengan bantuan Firmware Scanner, yang sudah termasuk dalam produk Kaspersky sejak awal tahun 2019. Teknologi ini dikembangkan untuk mendeteksi secara khusus ancaman yang bersembunyi di ROM BIOS, termasuk image firmware UEFI.
Meskipun tidak mungkin untuk mendeteksi vektor infeksi secara tepat yang memungkinkan aktor ancaman menimpa firmware UEFI asli, peneliti Kaspersky menyimpulkan satu opsi tentang bagaimana hal itu dapat dilakukan berdasarkan VectorEDK dari dokumen Tim Peretasan yang bocor.
Ini menunjukkan, tanpa mengecualikan opsi lain, bahwa infeksi mungkin terjadi melalui akses fisik ke mesin korban, khususnya dengan kunci USB yang dapat di-boot, yang kemudian akan berisi utilitas pembaruan khusus. Firmware yang ditambal kemudian akan memfasilitasi penginstalan pengunduh Trojan - malware sehingga memungkinkan muatan apa pun yang sesuai dengan kebutuhan aktor ancaman akan diunduh saat sistem operasi aktif dan berjalan.
Namun, dalam sebagian besar kasus, komponen MosaicRegressor dikirim menuju korban menggunakan tindakan lebih canggih, seperti pengiriman spearphishing dari dropper yang disembunyikan dalam arsip bersama dengan file umpan.
Struktur beberapa modul kerangka kerja memungkinkan aktor ancaman menyembunyikan kerangka kerja lebih luas dari analisis, serta menyebarkan komponen ke mesin target hanya berdasarkan permintaan. Malware yang awalnya diinstal pada perangkat terinfeksi adalah pengunduh Trojan, program yang mampu mengunduh muatan tambahan dan malware lainnya. Bergantung pada muatan yang diunduh, malware dapat mengunduh atau mengunggah file secara bebas dari/ke URL dan mengumpulkan informasi dari mesin yang ditargetkan.
Berdasarkan afiliasi dari para korban yang ditemukan, para peneliti dapat menentukan bahwa MosaicRegressor digunakan dalam serangkaian serangan yang ditujukan kepada para diplomat dan anggota LSM dari Afrika, Asia dan Eropa. Beberapa serangan termasuk dokumen spearphishing dalam bahasa Rusia, sementara beberapa lainnya terkait dengan Korea Utara dan digunakan sebagai umpan untuk mengunduh malware.
Kampanye ini tidak terkait dengan pelaku ancaman persisten tingkat lanjut yang dikenal.
“Meskipun serangan UEFI memberikan peluang luas bagi pelaku ancaman, MosaicRegressor adalah kasus pertama yang diketahui publik di mana pelaku ancaman menggunakan firmware UEFI yang dibuat khusus dan berbahaya secara bebas. Serangan yang sebelumnya diketahui dan diamati secara bebas hanya menggunakan perangkat lunak sah yang digunakan kembali (misalnya, LoJax), menjadikannya yang pertama dalam serangan bebas dan memanfaatkan bootkit UEFI yang dibuat khusus. Serangan ini menunjukkan bahwa, meskipun jarang terjadi, dalam kasus-kasus luar biasa, para aktor rela berusaha keras untuk mendapatkan tingkat ketekunan tertinggi pada mesin korban. Pelaku ancaman terus mendiversifikasi perangkat mereka dan menjadi semakin kreatif dengan cara mereka menargetkan korban - begitu pula vendor keamanan, agar tetap berada di depan para pelaku kejahatan siber ini. Beruntung, kombinasi teknologi dan pemahaman kami tentang kampanye saat ini dan sebelumnya yang memanfaatkan firmware terinfeksi dapat membantu kami memantau dan melaporkan serangan di masa mendatang terhadap target tersebut,” komentar Peneliti keamanan senior di Global Research and Analysis Team (GReAT) di Kaspersky Mark Lechtik.
“Penggunaan kode sumber pihak ketiga yang bocor dan penyesuaiannya menjadi malware baru yang canggih dan sekali lagi menjadi pengingat bagi kita tentang pentingnya keamanan data. Setelah perangkat lunak - baik itu bootkit, malware, atau yang lainnya - bocor, pelaku ancaman mendapatkan keuntungan signifikan. Alat yang tersedia secara gratis memberi kesempatan untuk memajukan dan menyesuaikan kumpulan alat mereka dengan sedikit pengembangan dan peluang untuk tidak terdeteksi," komentar Peneliti keamanan utama di Kaspersky's GReAT Igor Kuznetsov.(ak)