UEFI

Новият злонамерен софтуер е определено по-скрит и труден за премахване за вашата операционна система - той се крие в BIOS чипа и по този начин остава дори след като преинсталирате вашата ОС или форматирате твърдия диск.

MoonBounce не е първият UEFI злонамерен софтуер, който е насочен към SPI флаш чипа. Kaspersky казва, че преди него са LoJax и MosaicRegressor. Въпреки това, MoonBounce показва „значителен напредък и по-голяма техническа сложност“. Изглежда също така е заразил машина от разстояние.

Kaspersky наблюдава нарастването на заплахите от злонамерен софтуер на фърмуера (UEFI) от 2019 г., като повечето съхраняват зловреден софтуер в системния дял EFI на устройството за съхранение на компютъра. Въпреки това, през Нова година са забелязали зловещо развитие с нов UEFI зловреден софтуер, открит от скенера на Kasperksy, който имплантира злонамерен код във флаш чипа чрез серийния периферен интерфейс (SPI) на дънната платка. Изследователите по киберсигурност нарекоха този резидентен UEFI малуеър „MoonBounce“.

MoonBounce е безспорно умен направен в начина, по който влиза в системата и е труден за откриване и почистване. „Източникът на инфекцията започва с набор от кукички, които прихващат изпълнението на няколко функции в таблицата на EFI Boot Services“, обясняват от Kaspersky в своя блог SecureList. След това куките се използват за пренасочване на извиквания на функции към злонамерения шелкод, който нападателите са добавили към CORE_DXE. Това от своя страна „настройва допълнителни куки в следващите компоненти на веригата за зареждане, а именно зареждането на Windows“, казаха изследователите по сигурността. Това позволява зловредният софтуер да бъде инжектиран в процес svchost.exe, когато компютърът се стартира Windows.

Компания за транспортни технологии е единствената регистрирана атака към момента

Разбира се, Kaspersky са проявили интерес да разберат какво ще направи зловредният софтуер. И така, на заразена машина, изследователите наблюдават процеса на мауеърът, който се опитва да получи достъп до URL, за да извлече полезния товар на следващия етап и да го стартира в паметта. Интересното е, че тази част от усъвършенстваната атака изглежда не отива никъде, така че не било възможно да се анализират каквито и да било допълнителни стъпки от MoonBounce. Може би зловредният софтуер все още е бил в тестване, когато е бил забелязан, и/или е задържан за специални цели. В допълнение, зловредният софтуер не е базиран на файлове и извършва поне някои от операциите си само в паметта, което прави трудно да се види точно какво е правил MoonBounce на единичния хост в мрежата на компанията.

По-долу диаграмата показва как MoonBounce се зарежда и разгръща от момента, в който вашият UEFI компютър е включен, през зареждането на Windows, до превръщането му в уж нормално използваем, но заразен компютър.

Една-единствена машина, собственост на транспортна компания е единствената в логовете на Kaspersky, която има инфекция MoonBounce в своя SPI Flash. Не е сигурно как е станала инфекцията, но се смята, че е предизвикана дистанционно. Тази единствена машина в компания за транспортни технологии изглежда е разпространила импланти, различни от UEFI, към други машини в мрежата. Тъй като голяма част от работата му е безфайлова и е резидентна само в паметта, не е лесно да се наблюдава от тази единствена извадка.

Откритите следи водят към APT41

Друг важен клон от работата, извършвана от изследователи по киберсигурност като Kaspersky, разглеждат кой стои зад зловредния софтуер и какви са целите мауеърът.

Според Kaspersky MoonBounce е дело на китайската хакерска група от черни шапки APT41. В този случай пушещият пистолет е „уникален сертификат“, за който ФБР по-рано съобщи, че сигнализира за използването на инфраструктура, собственост на APT41. APT41 има история на атаки на веригата за доставки, така че това е продължение на централна нишка от злонамерените операции на APT41.

Предпазни мерки

За да не станете жертва на MoonBounce или подобен UEFI зловреден софтуер, колегите от Kaspersky предлагат редица мерки. Ние от KiK също препоръчваме на потребителите да актуализират своя UEFI фърмуер директно от производителя, да проверят дали BootGuard е активиран, където е наличен, и да активират модулите на Trust Platform. Не на последно място, препоръчваме решение за сигурност, което сканира системния фърмуер за проблеми, така че да могат да се вземат мерки при откриване на UEFI злонамерен софтуер.