شناسایی کمپین جاسوسی سایبری توسط کسپرسکی

به گزارش کارگروه حملات سایبری سایبربان؛ کارشناسان آزمایشگاه کسپرسکی به‌تازگی یک کمپین سایبری شناسایی کردند که در آن مهاجمان از یک بوت‌کیت و ساختار پیچیده ماژولاری به نام موزائیک رگرسور (MosaicRegressor) علیه رابط UEFI استفاده کرده‌اند. 

بنا برگزارش کسپرسکی، این رابط پیش از سیستم‌عامل اجراشده و تمام فرایندها را در آغاز کار کنترل می‌کند. به همین جهت با اعمال تغییرات در کدهای آن می‌توان کنترل کامل رایانه را به دست گرفت، حافظه و محتوای دیسک را تغییر داد و با بوت‌کیت موزائیک رگرسور سیستم‌عامل را وادار به نصب فایل‌های مخرب کرد. 

محققان کسپرسکی با بررسی زیرساخت‌های موزائیک رگرسور به کد Vector-EDK رسیده‌اند که اساس اجزای مختلف رگرسور بوده است، ابزار ویژه‌ای که توسط گروه «Hacking Team» ساخته‌شده و در سال 2015 در دسترس عموم قرارگرفته است. 

کسپرسکی هنوز تمام اجزای بوت‌کیت مذکور را بررسی نکرده، اما بخشی که موردمطالعه قرارگرفته برای جمع‌آوری اسناد و Recent Documents و قرار دادن آن‌ها در آرشیو رمزگذاری شده به کار رفته است. مهاجمان بدین شکل فایل‌ها را برای سرقت آماده کرده‌اند. 

ایگور کوزنتسوف، کارشناس امنیت سایبری کسپرسکی در این خصوص اعلام کرد موزائیک رگرسور با سرور فرماندهی و کنترل ارتباط برقرار کرده و تمام اسناد و فایل‌های اخیر را از سیستم هدف جمع‌آوری و آرشیو کرده و به سرور ارسال می‌کند و به‌عنوان جاسوس‌افزار عمل می‌کند. 

به گفته وی، بوت‌کیت موزائیک رگرسور تنها در دو سیستم شناسایی‌شده و اجزای آن در بسیاری از رایانه‌ها مشاهده‌شده است. اهداف مهاجمان نیز در این کمپین دیپلمات‌ها و سازمان‌های مردم‌نهاد آفریقا، آسیا و اروپا بوده است. 

نخستین بوت‌کیت برای رابط UEFI در سال 2018 توسط کارشناسان شرکت ای‌ست شناسایی‌شد و در آن زمان به گروه هکری فنسی بیر نسبت داده شد، کارشناسان کسپرسکی نیز اپراتورهای موزائیک رگرسور را چینی‌زبان تشخیص داده‌اند. 

موزائیک رگرسور به کمک یکی از محصولات سال 2019 کسپرسکی به نام «Firmware Scanner» شناسایی‌شده است.