MoonBounce, ny UEFI-malware på fri fod
UEFI, forkortelse for Unified Extensible Firmware Interface, er ganske enkelt sagt en systemkomponent, som forbinder operativsystemet med resten af systemets firmware og enheder. Dette er en komponent på lavt niveau, som ikke slettes/overskrives i tilfælde af formatering af din harddisk eller geninstallation af dit operativsystem. Og det er grunden til, at cyberkriminelle er så interesserede i det – udviklingen af UEFI-malware giver dem mulighed for at blive vedholden på en kompromitteret enhed, der gemmer sig dybt ind i systemets komponenter. Selvom offeret forsøger at geninstallere deres operativsystem, vil de ikke kunne fjerne det ondsindede modul. Det seneste stykke UEFI-malware, der findes i den vilde MoonBounce Malware – det slutter sig til rækken af flere andre implantater, som har evnen til at opholde sig inde i UEFI.
UEFI-firmwaren er typisk gemt på Serial Peripheral Interface (SPI) lagerchippen på computerens bundkort. For at det kan blive kompromitteret, skal angribere introducere en ondsindet firmwareopdatering, som vil levere den ondsindede kode til SPI-chippen.
Hvorfor er MoonBounce Malware speciel?
Som allerede forklaret, ligger denne malwares unikke evne i UEFI-firmwaren, der gør det meget sværere at identificere og fjerne. Men denne egenskab giver den også mange andre fordele. For det første behøver det ikke at køre ved systemstart som de fleste moderne malware - i stedet er det i stand til at arbejde uafhængigt af operativsystemet.
På grund af hvor snigende MoonBounce Malware er, er dens funktioner naturligvis ret begrænsede. Desværre gør dets evne til at gemme sine data i UEFI-firmwaren og operere fra systemets hukommelse det til en meget vanskelig trussel at håndtere. Det ser ud til, at dets primære formål er at gøre det muligt for angribere at implementere yderligere malware på inficerede enheder - ligesom en trojansk dropper.
Det ser ud til, at ofrene, der er berørt af MoonBounce Malware, har fået følsomme data eksfiltreret fra deres enheder - industrispionage er sandsynligvis det primære formål med denne specifikke kampagne. Ifølge malware-forskere ligner MoonBounce-kampagnen meget de tidligere kampagner udført af APT41, en kinesisk trusselsaktør.