MoonBounce, neue UEFI-Malware auf freiem Fuß
UEFI, kurz für Unified Extensible Firmware Interface, ist einfach ausgedrückt eine Systemkomponente, die das Betriebssystem mit der restlichen Firmware und den Geräten des Systems verbindet. Dies ist eine Low-Level-Komponente, die nicht gelöscht/überschrieben wird, wenn Sie Ihre Festplatte formatieren oder Ihr Betriebssystem neu installieren. Und deshalb sind Cyberkriminelle so daran interessiert – die Entwicklung von UEFI-Malware ermöglicht es ihnen, auf einem kompromittierten Gerät zu bestehen und sich tief in den Systemkomponenten zu verstecken. Selbst wenn das Opfer versucht, sein Betriebssystem neu zu installieren, wird es ihm nicht gelingen, das schädliche Modul zu entfernen. Die neueste UEFI-Malware, die in der wilden MoonBounce-Malware zu finden ist – sie reiht sich in die Reihen mehrerer anderer Implantate ein, die die Fähigkeit haben, sich im UEFI zu befinden.
Die UEFI-Firmware wird normalerweise auf dem Speicherchip der seriellen Peripherieschnittstelle (SPI) auf Computerhauptplatinen gespeichert. Damit es kompromittiert werden kann, müssen Angreifer ein bösartiges Firmware-Update einführen, das den bösartigen Code an den SPI-Chip liefert.
Warum ist die MoonBounce-Malware etwas Besonderes?
Wie bereits erläutert, macht die einzigartige Fähigkeit dieser Malware, die in der UEFI-Firmware steckt, es viel schwieriger, sie zu identifizieren und zu entfernen. Diese Eigenschaft verleiht ihm aber auch viele weitere Vorteile. Zunächst einmal muss sie nicht wie die meisten modernen Malware beim Systemstart ausgeführt werden – stattdessen kann sie unabhängig vom Betriebssystem arbeiten.
Da die MoonBounce-Malware so heimlich ist, sind ihre Funktionen natürlich ziemlich begrenzt. Leider macht es seine Fähigkeit, seine Daten in der UEFI-Firmware zu speichern und vom Systemspeicher aus zu arbeiten, zu einer sehr schwer zu bewältigenden Bedrohung. Es scheint, dass sein Hauptzweck darin besteht, Angreifern zu ermöglichen, zusätzliche Malware auf infizierten Geräten zu installieren – genau wie ein Trojan Dropper.
Es scheint, dass den von der MoonBounce-Malware betroffenen Opfern sensible Daten von ihren Geräten entzogen wurden – Industriespionage dürfte der Hauptzweck dieser speziellen Kampagne sein. Laut Malware-Forschern scheint die MoonBounce-Kampagne früheren Kampagnen von APT41, einem chinesischen Bedrohungsakteur, sehr ähnlich zu sein.