MoonBounce, új UEFI malware szabadon
Az UEFI, a Unified Extensible Firmware Interface rövidítése, egyszerűen egy rendszerkomponens, amely összeköti az operációs rendszert a rendszer többi firmware-ével és eszközeivel. Ez egy alacsony szintű komponens, amely nem törlődik/íródik felül a merevlemez formázása vagy az operációs rendszer újratelepítése esetén. És ez az oka annak, hogy a kiberbűnözők annyira érdeklődnek iránta – az UEFI-malware-ek fejlesztése lehetővé teszi számukra, hogy kitartást nyerjenek egy feltört eszközön, mélyen a rendszer összetevőibe bújva. Még ha az áldozat megpróbálja is újratelepíteni az operációs rendszerét, nem sikerül eltávolítania a rosszindulatú modult. Az UEFI malware legújabb darabja, amely a vadon élő MoonBounce Malware-ben található – számos más implantátum sorába csatlakozik, amelyek képesek az UEFI-n belül elhelyezkedni.
Az UEFI firmware-t általában a számítógépes alaplapok SPI (Serial Peripheral Interface) tárolóchipjén tárolják. Annak érdekében, hogy ez veszélybe kerüljön, a támadóknak rosszindulatú firmware-frissítést kell bevezetniük, amely a rosszindulatú kódot az SPI-chipbe juttatja el.
Miért különleges a MoonBounce malware?
Amint már kifejtettük, ennek a rosszindulatú programnak az UEFI firmware-ben rejlő egyedi képessége sokkal nehezebbé teszi az azonosítást és eltávolítást. De ez a tulajdonság sok más előnnyel is jár. Kezdetnek nem kell rendszerindításkor futnia, mint a legtöbb modern rosszindulatú programnak – ehelyett képes az operációs rendszertől függetlenül működni.
Természetesen, mivel a MoonBounce Malware mennyire lopakodó, funkciói meglehetősen korlátozottak. Sajnos az a képessége, hogy adatait az UEFI firmware-ben tárolja, és a rendszer memóriájából működik, nagyon nehezen kezelhető fenyegetéssé teszi. Úgy tűnik, hogy elsődleges célja, hogy lehetővé tegye a támadók számára, hogy további rosszindulatú programokat telepítsenek a fertőzött eszközökre – akárcsak egy trójai cseppet.
Úgy tűnik, hogy a MoonBounce Malware által érintett áldozatok eszközeiből érzékeny adatokat szivárogtattak ki – ennek a kampánynak valószínűleg az ipari kémkedés lesz az elsődleges célja. A rosszindulatú programok kutatói szerint a MoonBounce kampány nagyon hasonlít az APT41, egy kínai fenyegetettség szereplőjének korábbi kampányaihoz.