示意圖。Original photo by Blogtrepreneur (CC BY 2.0) (https://www.flickr.com/photos/143601516@N03/29402709463/in/photostream/)

安全廠商卡巴斯基發現,一個和中國有關的駭客組織發展出改造UEFI韌體bootkit,以下載惡意程式到電腦的新手法,藉此攻擊多國外交官員及非政府組織成員。

卡巴斯基研究人員近日發現數個UEFI韌體映像檔內包含惡意模組。這些模組是以義大利資訊商HackingTeam的bootkit VectorEDK外洩的程式碼改造而來。Hacking Team專門提供政府部門及執法機構提供電腦入侵及監視服務。這些新加模組的目的,是在進入受害者電腦後啟動一系列事件,再下載其他惡意程式。雖然VectorEDK原始碼公開已久,但這是第一次被見到用於攻擊。

HackingTeams的原始bootkit有利於將後門程式寫入電腦磁碟,但研究人員進一步分析發現,這次植入的惡意程式來自另一個更大的框架,名為MosaicRegressor,它是一個多階段下載及模組化框架,包括和C&C伺服器建立連線、載入DLL及上傳資料等功能,專門用於網路間諜行動及資料偵蒐。

卡巴斯基指出,受害者包括非洲、亞洲、歐洲的外交官員及非政府組織成員,他們都在北韓有所活動,顯示駭客資料蒐集的目的。

研究人員分析MosaicRegressor框架的部份元件,發現和一個說中文的駭客組織使用的C&C基礎架構有重疊之處,這表示這起行動的發動者為中國駭客組織,可能與Winnti後門程式背後的組織有關。一般安全人員相信,Winnti駭客組織APT41是受命於中國政府。

卡巴斯基指出,利用UEFI 韌體進行攻擊相當罕見,這僅僅是已知第二個案例。少見原因主要是進入韌體的攻擊相當難以掌握,且駭客要有高階手法才能把它部署到目標的SPI快閃晶片中,而且攻擊過程中極可能毁壞敏感工具或資產。這也突顯駭客為達目的,再困難也在所不惜。


熱門新聞

Advertisement