MosaicRegressor
MosaicRegressor ne représente que la deuxième fois que le rootkit UEFI a été observé comme étant déployé dans la nature. UEFI signifie Unified Extensible Firmware Interface et est une cible vraiment juteuse pour les opérateurs de logiciels malveillants, car il est installé sur un stockage flash SPI (Serial Peripheral Interface Bus) qui est directement soudé à la carte mère de l'ordinateur. En conséquence, tout logiciel malveillant qui l'exploite atteindra une persistance énorme sur le système compromis, car il ne sera pas modifié par la réinstallation du système d'exploitation ou par des modifications apportées aux disques durs.
Le nom MosaicRegressor a été donné à ce rootkit UEFI par les chercheurs qui l'ont découvert. Selon leurs conclusions, MosaicRegressor n'a pas été construit à partir de zéro. Au lieu de cela, les pirates ont pris le code du bootkit VectorEDK de Hacking Team, qui a été divulgué en 2015, et l'ont fortement modifié. Les cybercriminels ont créé un cadre assez complexe pour les activités du rootkit. Il incorpore plusieurs téléchargeurs et plusieurs chargeurs intermédiaires avant que les modules de charge utile finaux ne soient déposés sur le système compromis. La structure sophistiquée et le fait que les modules corrompus ne sont exécutés que lors de la réception de la commande appropriée des hackers créent des obstacles importants pour les analyses du rootkit. Néanmoins, les chercheurs en sécurité ont pu déterminer qu'un module particulier était responsable de la collecte, de l'archivage, puis de l'exfiltration des données trouvées dans le dossier Documents récents.
Les victimes de MosaicRegressor partagent une connexion nord-coréenne
Des entités de plusieurs continents différents semblent être parmi les victimes de MosaicRegressor. Le rootkit a été trouvé sur les ordinateurs de plusieurs organisations non gouvernementales (ONG) et entités diplomatiques situées en Europe, en Afrique et en Asie pendant les deux années entre 2017 et 2019. Le seul fil conducteur entre les victimes que les chercheurs en cybersécurité ont pu trouver est leur emplacement en Corée du Nord. Toutes les organisations concernées étaient présentes dans le pays ou mènent des activités à but non lucratif qui y sont liées. En fait, l'un des vecteurs d'attaque employés par les pirates informatiques était de distribuer des fichiers SFX empoisonnés déguisés en documents traitant de divers sujets liés à la Corée du Nord.
