Нов тип зловреден софтуер прониква в операционната система по трудно забележим. Упорит е за премахване. Той се крие в чипа на BIOS и остава дори след преинсталиране на операционната система или форматиране на твърдия диск.
От 2019 г. насам Kaspersky наблюдава ръст на заплахите, свързани с фърмуера на Unified Extensible Firmware Interface (UEFI). Повечето от тях съхраняват зловредния софтуер в системния EFI дял на устройството за съхранение на компютъра. През новата година обаче беше забелязан нов зловреден UEFI малуер. Открит е от логовете на скенера за фърмуер на Kasperksy. Гадината имплантира зловреден код във флаш паметта на серийния периферен интерфейс (SPI) на дънната платка.
Изследователите в областта на сигурността са нарекли явлението „MoonBounce“.
MoonBounce не е първият открит зловреден софтуер за UEFI, който е насочен към SPI флаш памет. Kaspersky твърди, че преди него са се появили LoJax и MosaicRegressor. Въпреки това MoonBounce показва „значителен напредък, с по-сложен поток на атаката и по-голяма техническа сложност“.
Освен това изглежда, че имаме заразена машина от разстояние
MoonBounce безспорно е умен в начина, по който прониква в системата и се превръща в труден за откриване и ликвидиране.
Източникът на инфекцията започва с набор от кукички, които прихващат изпълнението на няколко функции в таблицата EFI Boot Services Table. След това куките се използват за пренасочване на извикванията на функциите към зловредния шел код, който нападателите са добавили към образа CORE_DXE. Това, от своя страна „създава допълнителни кукички в следващите компоненти на веригата за зареждане, а именно в зареждащия модул на Windows.
Обяснява Kaspersky в своя блог SecureList.
Това позволява зловредният софтуер да бъде инжектиран в процеса svchost.exe, когато компютърът се зарежда в Windows.
Транспортна технологична компания – единствената регистрирана досега атака
Разбира се, Kaspersky се интересува да види какво ще направи зловредният софтуер по-нататък. Така че на заразена машина изследователите наблюдаваха как процесът на зловредния софтуер се опитва да осъществи достъп до URL адрес. С идеята да изтегли полезния товар за следващия етап и да го изпълни в паметта. Интересно е, че тази част от сложната атака изглежда не е отишла никъде. Става невъзможно да се анализират по-нататъшните стъпки на MoonBounce.
Може би този злонамерен софтуер все още е бил в процес на тестване, когато е бил забелязан, и/или е задържан за специални цели. Не е базиран на файлове и извършва поне някои от операциите си само в паметта. Това допълнително затруднява да се види какво точно е направил MoonBounce на единствения заразен компютър в мрежата на компанията.
Не е сигурно как се е случила инфекцията, но се предполага, че е предизвикана дистанционно. Установяват, че тази единствена машина в компанията е разпространила импланти на зловреден софтуер, които не са свързани с UEFI, на други машини в мрежата. Тъй като голяма част от работата му е без файлове и само в паметта, не е лесно да се разгадае до край от тази единствена извадка.
По-долу е представена блок-схема, в която е описано как MoonBounce се зарежда и разгръща от момента на включване на компютъра с UEFI, през зареждането на Windows и превръщането му в използваем, но заразен компютър.
Открити отпечатъци на APT41
Друг важен клон от работата на Kaspersky е да проучи кой стои зад открития зловреден софтуер. Да се разбере какви са целите на зловредния софтуер и за заразяването на кого е подготвен той.
Що се отнася до MoonBounce, от Kaspersky изглеждат доста сигурни, че този зловреден софтуер е продукт на APT41.
Разбират това от „уникален сертификат“, за който ФБР вече съобщава, че сигнализира за използването на инфраструктура, собственост на APT41. Хакерът е от китайски произход и има история в атаките по веригата за доставки.
Мерки за безопасност
За да избегнете да станете жертва на MoonBounce или подобен зловреден софтуер за UEFI, Kaspersky предлага редица мерки. Компанията препоръчва на потребителите да поддържат актуализиран фърмуера на UEFI директно от производителя, да проверят дали BootGuard е активиран, когато е наличен, и да активират Trust Platform Modules. И не на последно място, препоръчва решение за сигурност, което сканира системния фърмуер за проблеми, за да може да се вземат мерки при откриване на проблема.