MoonBounce, νέο κακόβουλο λογισμικό UEFI on the Loose
Το UEFI, συντομογραφία του Unified Extensible Firmware Interface, είναι απλά ένα στοιχείο συστήματος, το οποίο συνδέει το λειτουργικό σύστημα με το υπόλοιπο υλικολογισμικό και τις συσκευές του συστήματος. Αυτό είναι ένα στοιχείο χαμηλού επιπέδου, το οποίο δεν διαγράφεται/αντικαθίσταται σε περίπτωση μορφοποίησης του σκληρού δίσκου ή επανεγκατάστασης του λειτουργικού σας συστήματος. Και αυτός είναι ο λόγος για τον οποίο οι εγκληματίες του κυβερνοχώρου ενδιαφέρονται τόσο πολύ για αυτό – η ανάπτυξη κακόβουλου λογισμικού UEFI τους επιτρέπει να αποκτήσουν επιμονή σε μια παραβιασμένη συσκευή, κρύβοντας βαθιά στα στοιχεία του συστήματος. Ακόμα κι αν το θύμα επιχειρήσει να επανεγκαταστήσει το λειτουργικό του σύστημα, θα αποτύχει να αφαιρέσει την κακόβουλη μονάδα. Το πιο πρόσφατο κομμάτι κακόβουλου λογισμικού UEFI που βρέθηκε στο άγριο κακόβουλο λογισμικό MoonBounce – εντάσσεται στις τάξεις πολλών άλλων εμφυτευμάτων, τα οποία έχουν τη δυνατότητα να βρίσκονται μέσα στο UEFI.
Το υλικολογισμικό UEFI συνήθως αποθηκεύεται στο τσιπ αποθήκευσης Serial Peripheral Interface (SPI) σε μητρικές πλακέτες υπολογιστών. Προκειμένου να παραβιαστεί, οι εισβολείς θα πρέπει να εισαγάγουν μια κακόβουλη ενημέρωση υλικολογισμικού, η οποία θα παρέδιδε τον κακόβουλο κώδικα στο τσιπ SPI.
Γιατί το MoonBounce Malware είναι ειδικό;
Όπως έχει ήδη εξηγηθεί, η μοναδική ικανότητα αυτού του κακόβουλου λογισμικού βρίσκεται στο υλικολογισμικό UEFI καθιστά πολύ πιο δύσκολο τον εντοπισμό και την αφαίρεση. Αλλά αυτή η ιδιότητα του δίνει και πολλά άλλα πλεονεκτήματα. Για αρχάριους, δεν χρειάζεται να εκτελείται κατά την εκκίνηση του συστήματος όπως τα περισσότερα σύγχρονα κακόβουλα προγράμματα – αντίθετα, μπορεί να λειτουργεί ανεξάρτητα από το λειτουργικό σύστημα.
Φυσικά, λόγω του πόσο μυστικό είναι το MoonBounce Malware, οι δυνατότητες του είναι αρκετά περιορισμένες. Δυστυχώς, η ικανότητά του να αποθηκεύει τα δεδομένα του στο υλικολογισμικό UEFI και να λειτουργεί από τη μνήμη του συστήματος το μετατρέπει σε μια πολύ δύσκολη απειλή για την αντιμετώπιση. Φαίνεται ότι ο πρωταρχικός σκοπός του είναι να επιτρέψει στους εισβολείς να αναπτύξουν πρόσθετο κακόβουλο λογισμικό σε μολυσμένες συσκευές – ακριβώς όπως ένα Trojan Dropper.
Φαίνεται ότι τα θύματα που επλήγησαν από το κακόβουλο λογισμικό MoonBounce είχαν διεισδύσει ευαίσθητα δεδομένα από τις συσκευές τους – η βιομηχανική κατασκοπεία είναι πιθανό να είναι ο πρωταρχικός σκοπός αυτής της συγκεκριμένης εκστρατείας. Σύμφωνα με ερευνητές κακόβουλου λογισμικού, η καμπάνια MoonBounce φαίνεται πολύ παρόμοια με προηγούμενες εκστρατείες που πραγματοποιήθηκαν από την APT41, έναν κινέζικο παράγοντα απειλών.
