中國駭客利用改造UEFI bootkit攻擊多國官員及NGO成員

安全廠商卡巴斯基發現，一個和中國有關的駭客組織發展出改造UEFI韌體bootkit，以下載惡意程式到電腦的新手法，藉此攻擊多國外交官員及非政府組織成員。

卡巴斯基研究人員近日發現數個UEFI韌體映像檔內包含惡意模組。這些模組是以義大利資訊商HackingTeam的bootkit VectorEDK外洩的程式碼改造而來。Hacking Team專門提供政府部門及執法機構提供電腦入侵及監視服務。這些新加模組的目的，是在進入受害者電腦後啟動一系列事件，再下載其他惡意程式。雖然VectorEDK原始碼公開已久，但這是第一次被見到用於攻擊。

HackingTeams的原始bootkit有利於將後門程式寫入電腦磁碟，但研究人員進一步分析發現，這次植入的惡意程式來自另一個更大的框架，名為MosaicRegressor，它是一個多階段下載及模組化框架，包括和C&C伺服器建立連線、載入DLL及上傳資料等功能，專門用於網路間諜行動及資料偵蒐。

卡巴斯基指出，受害者包括非洲、亞洲、歐洲的外交官員及非政府組織成員，他們都在北韓有所活動，顯示駭客資料蒐集的目的。

研究人員分析MosaicRegressor框架的部份元件，發現和一個說中文的駭客組織使用的C&C基礎架構有重疊之處，這表示這起行動的發動者為中國駭客組織，可能與Winnti後門程式背後的組織有關。一般安全人員相信，Winnti駭客組織APT41是受命於中國政府。

卡巴斯基指出，利用UEFI 韌體進行攻擊相當罕見，這僅僅是已知第二個案例。少見原因主要是進入韌體的攻擊相當難以掌握，且駭客要有高階手法才能把它部署到目標的SPI快閃晶片中，而且攻擊過程中極可能毁壞敏感工具或資產。這也突顯駭客為達目的，再困難也在所不惜。