Эксперты Positive Technologies проанализировали все известные 39 семейств буткитов, как существующих в формате PoC, так и использующихся в реальных атаках злоумышленников с 2005 по 2021 год. Исследование показало, что каждый второй буткит применяется в целевых атаках, при этом, несмотря на высокую стоимость разработки этих вредоносов, злоумышленники стали использовать их в массовых атаках.
Еще недавно была распространена точка зрения, что буткиты, внедряемые на стадии запуска низкоуровневого ПО BIOS или UEFI, практически не встречаются в реальных атаках, однако в последние годы этот миф развенчивают эксперты. Так, из 39 проанализированных Positive Technologies семейств буткитов как минимум 70% (27 семейств) использовались в кибератаках, причем половина из них, 14, — APT-группировками, например Careto, Winnti (APT41), FIN1 и APT28.
По данным исследователей, росту популярности буткитов среди злоумышленников способствует регулярное обнаружение уязвимостей в прошивках. Например, для UEFI только в 2021 году в национальной базе уязвимостей NDV появилось 18 записей. Для сравнения: в 2020 году их было 12 (на 30% меньше), а в 2019 — всего пять.
Сейчас функции буткитов нередко добавляются к другим вредоносным программам: так поступают разработчики шифровальщиков, например Satana и Petya, и ботнетов, к примеру, TrickBot.
«Среди проанализированных нами буткитов 76% были разработаны под устаревший и небезопасный BIOS, — отмечает аналитик исследовательской группы Positive Technologies Яна Юракова. — Intel еще в 2020 году остановила поддержку BIOS, но некоторые компании не могут быстро обновить ИТ-инфраструктуру либо используют гипервизоры, в которых по умолчанию рекомендовано использовать BIOS. Из-за этого буткиты для заражения BIOS до сих пор не теряют своей актуальности. По нашей оценке, в России с такой проблемой чаще сталкиваются госучреждения и промышленность».
Начиная с 2020 года все буткиты, встречающиеся в реальных атаках, были ориентированы на UEFI, например, Mosaic Regressor, Trickboot, FinSpy, ESPEcter, MoonBounce. Несмотря на большую защищенность UEFI и добавленный протокол безопасной загрузки (Secure Boot), существует несколько возможных вариантов заражения прошивки UEFI: от атак на цепочки поставок, до удаленного внедрения с помощью повышения привилегий для установки полезной нагрузки на уровне ядра ОС.
Эксперты отмечают сложность разработки буткитов, что отражается на их стоимости на теневом рынке. Средняя стоимость аренды буткита составляет 4900 долларов США. Для сравнения: взять в аренду руткит злоумышленник может за 100-200 долларов США.
Исследователи проанализировали 58 каналов в Telegram и десять наиболее популярных русскоязычных и англоязычных форумов в даркнете, где представлены предложения о продаже и запросы о покупке буткитов, а также объявления о поиске разработчиков вредоносов. За 10 000 долларов США преступник может приобрести исходный код для буткита, а за 2000 — получить образ для запуска. За разработку буткита злоумышленники готовы платить до 5 000 долларов США. Максимальная цена, которую готовы заплатить за буткит для прошивки UEFI, составляет 2 млн долларов США.
Несмотря на высокую стоимость, хакеры используют буткиты не только в целевых (например, во время шпионажа за дипломатами из Африки, Азии и Европы с помощью Mosaic Regressor), но и в массовых атаках. Так, буткит Rovnix распространяли в рамках фишинговой кампании, использующей в качестве повестки информацию о новой инициативе Всемирного банка в связи с эпидемией коронавируса. Буткит Adushka был нацелен на обычных пользователей и применялся в том числе для кражи данных из личных аккаунтов в онлайн-играх. Еще один буткит, который был использован в массовых атаках, — Oldboot. Он был ориентирован на устройства на платформе Android и успел заразить более 350 000 мобильных устройств.
Исследователи отмечают, что для доставки буткитов в инфраструктуру организаций злоумышленники используют в основном направленный фишинг через электронную почту. Так, например, распространяются буткиты Mebromi и Mosaic Regressor. Еще одним вектором доставки становятся сайты и техника Drive-by Compromise, с помощью которой происходило заражение вредоносами Pitou и Mebroot. Причем киберпреступники, распространявшие Mebroot, взломали более 1500 ресурсов для размещения своего вредоносного кода. Буткит FispBoot и вовсе попадал на устройство после заражения трояном Trojan-Downloader.NSIS.Agent.jd, который жертва загружала под видом видеоролика.
«Некоторым организациям сложно обновить ИТ-инфраструктуру. По нашей оценке, в России с такой проблемой чаще сталкиваются госучреждения и промышленные предприятия. Не менее актуальна эта проблема и в случае с виртуальной инфраструктурой, так как даже производители гипервизоров в качестве прошивки по умолчанию рекомендуют использовать BIOS. На наш взгляд, это обусловлено тем, что виртуальные машины на базе BIOS легче обслуживать и поддерживать», — комментируют аналитики.
