Badacze z firmy Kaspersky wykryli w rzeczywistych warunkach trzeci przypadek bootkita oprogramowania układowego. Ten szkodliwy implant, określany jako MoonBounce, ukrywa się w oprogramowaniu UEFI, które stanowi jeden z niezbędnych komponentów współczesnych maszyn. Tego rodzaju szkodliwe oprogramowanie jest trudne do usunięcia i w ograniczonym stopniu widoczne dla wielu produktów bezpieczeństwa. MoonBounce, który po raz pierwszy został zauważony w rzeczywistych warunkach wiosną 2021 r., cechuje się wyrafinowanym przebiegiem ataku, który jest o wiele bardziej zaawansowany w porównaniu ze znanymi wcześniej bootkitami oprogramowania UEFI. Kampania, w której wykorzystano nowy szkodliwy program, została przypisana z wysokim poziomem pewności dobrze znanemu zaawansowanemu cybergangowi o nazwie APT41.
Oprogramowanie układowe UEFI stanowi krytyczny komponent ogromnej większości komputerów. Jego kod odpowiada za uruchomienie urządzenia i przekazanie kontroli oprogramowaniu, które ładuje system operacyjny. Kod ten znajduje się w pamięci nieulotnej flash SPI, która nie jest dostępna dla użytkownika. Jeśli takie oprogramowanie zawiera szkodliwy kod, będzie on uruchamiany przed startem systemu operacyjnego. W efekcie szkodliwe oprogramowanie będzie szczególnie trudne do usunięcia – samo sformatowanie dysku twardego lub przeinstalowanie systemu operacyjnego nie wystarczy. Co więcej, zlokalizowanie kodu poza dyskiem twardym oznacza, że aktywność takich bootkitów jest praktycznie niewykrywalna dla większości rozwiązań bezpieczeństwa, jeśli nie posiadają one wyspecjalizowanej funkcji, która skanuje tę część urządzenia.
MoonBounce jest zaledwie trzecim znanym bootkitem UEFI wykrytym w rzeczywistych warunkach. Pojawił się wiosną 2021 r. i został po raz pierwszy zidentyfikowany przez badaczy z firmy Kaspersky, analizujących skuteczność technologii służącej do skanowania oprogramowania układowego, która została włączona do produktów firmy na początku 2019 r. i wykrywa zagrożenia ukrywające się w pamięci BIOS-u oraz UEFI. W porównaniu z dwoma wcześniej wykrytymi bootkitami, LoJax oraz MosaicRegressor, MoonBounce charakteryzuje się wysokim poziomem zaawansowania, wykazując bardziej złożony przebieg ataku oraz większe wyrafinowanie techniczne.
Implant jest osadzony w CORE_DXE, komponencie oprogramowania układowego, który jest wywoływany na wczesnym etapie sekwencji uruchamiania UEFI. Następnie, poprzez serię działań, które przechwytują określone funkcje, komponenty szkodliwego kodu przedostają się do systemu operacyjnego, gdzie kontaktują się z serwerem kontrolowanym przez cyberprzestępców w celu pobrania kolejnych szkodliwych funkcji. Warto wspomnieć, że sam łańcuch infekcji nie pozostawia żadnych śladów na dysku twardym, ponieważ jego komponenty działają wyłącznie w pamięci.
W kampanii wymierzonej w badaną sieć atakujący wykonali szereg działań, takich jak archiwizowanie plików czy gromadzenie informacji sieciowych. Polecenia stosowane przez cyberprzestępców sugerują, że byli oni zainteresowani penetracją sieci oraz wyprowadzaniem danych, a biorąc pod uwagę wykorzystanie technologii infekującej UEFI, atakujący byli prawdopodobnie zainteresowani prowadzeniem ciągłej aktywności szpiegowskiej.
Badacze z firmy Kaspersky przypisali bootkita MoonBounce, z wysokim poziomem pewności, ugrupowaniu APT41, które przeprowadzało kampanie cyberszpiegowskie oraz cyberprzestępcze na całym świecie od co najmniej 2012 r. Ponadto obecność niektórych szkodliwych modułów w sieci badanej przez specjalistów z firmy Kaspersky sugeruje możliwy związek między grupą APT41 a chińskojęzycznymi cyberprzestępcami.
Jak dotąd nowy bootkit został wykryty na jednej maszynie należącej do firmy holdingowej działającej na rynku technologicznym, jednak w sieciach kilku innych ofiar znaleziono powiązane z nim szkodliwe próbki.
Chociaż nie możemy definitywnie powiązać z bootkitem MoonBounce dodatkowych implantów szkodnika zidentyfikowanych podczas naszego dochodzenia, wydaje się, że kilka chińskojęzycznych ugrupowań przestępczych przekazuje sobie nawzajem narzędzia, aby pomagać sobie w różnych kampaniach. W szczególności wydaje się istnieć, przy niskim stopniu pewności, związek pomiędzy gangami MoonBounce a Microcin – powiedział Denis Legezo, starszy badacz ds. cyberbezpieczeństwa w firmie Kaspersky.
Co istotne, najnowszy bootkit UEFI wykazuje te same, godne uwagi udoskonalenia w porównaniu ze szkodnikiem MosaicRegressor, o którym pisaliśmy w 2020 r. W rzeczywistości przekształcenie nieszkodliwego komponentu w oprogramowaniu układowym w taki, który może ułatwić umieszczenie szkodliwego oprogramowania w systemie, stanowi innowację, która nie występowała we wcześniejszych podobnych bootkitach zidentyfikowanych w rzeczywistych warunkach, i nadaje temu zagrożeniu o wiele bardziej unikatowy charakter. Już w 2018 r. przewidywaliśmy wzrost popularności zagrożeń UEFI. Wydaje się, że ta prognoza urzeczywistnia się właśnie teraz. Nie zdziwilibyśmy się, gdyby w 2022 r. pojawiły się kolejne bootkity. Na szczęście producenci zaczęli zwracać większą uwagę na ataki z wykorzystaniem oprogramowania układowego i coraz szerzej stosowane są technologie bezpieczeństwa, takie jak BootGuard oraz Trusted Platform Modules – dodał Mark Lechtik, starszy badacz ds. bezpieczeństwa w firmie Kaspersky.
Szczegóły techniczne dotyczące bootkita MoonBounce są dostępne na stronie https://r.kaspersky.pl/9IX5N.
Porady bezpieczeństwa
Eksperci z firmy Kaspersky zalecają następujące działania pozwalające zabezpieczyć się przed bootkitami UEFI, takimi jak MoonBounce:
- Zapewnij swojemu zespołowi z centrum operacji bezpieczeństwa dostęp do najnowszej analizy zagrożeń. Możesz w tym celu skorzystać z serwisu Kaspersky Threat Intelligence Portal, który stanowi pojedynczy punkt dostępu do eksperckiej wiedzy firmy Kaspersky i oferuje informacje dotyczące cyberataków oraz szczegółowe dane zgromadzone na przestrzeni ponad 20 lat.
- W celu zapewnienia wykrywania i badania incydentów na poziomie punktów końcowych, jak również łagodzenia ich skutków wdróż rozwiązania EDR, takie jak Kaspersky Endpoint Detection and Response.
- Korzystaj z niezawodnego produktu bezpieczeństwa punktów końcowych, takiego jak Kaspersky Endpoint Security for Business, który potrafi wykryć ataki wycelowane w oprogramowanie układowe.
- Regularnie aktualizuj oprogramowanie UEFI i korzystaj wyłącznie z oprogramowania układowego od zaufanych dostawców.
- Włącz bezpieczny rozruch w trybie domyślnym (BootGuard oraz Trusted Platform Modules).
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.
Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.