MoonBounce, nauja UEFI kenkėjiška programa
UEFI, trumpinys iš Unified Extensible Firmware Interface, yra tiesiog sistemos komponentas, jungiantis operacinę sistemą su likusia sistemos programine įranga ir įrenginiais. Tai žemo lygio komponentas, kuris nėra ištrinamas / neperrašomas formatuojant standųjį diską arba iš naujo įdiegus operacinę sistemą. Štai kodėl kibernetiniai nusikaltėliai tuo taip domisi – UEFI kenkėjiškų programų kūrimas leidžia jiems įgyti atkaklumą pažeistame įrenginyje, pasislėpus giliai sistemos komponentuose. Net jei auka bandys iš naujo įdiegti operacinę sistemą, jai nepavyks pašalinti kenkėjiško modulio. Naujausia UEFI kenkėjiškos programos dalis, randama laukinėje MoonBounce kenkėjiškoje programoje – ji papildo keleto kitų implantų, kurie turi galimybę gyventi UEFI viduje, gretas.
UEFI programinė įranga paprastai saugoma kompiuterių pagrindinių plokščių nuosekliosios periferinės sąsajos (SPI) atminties luste. Kad jis būtų pažeistas, užpuolikai turės įdiegti kenkėjišką programinės įrangos naujinį, kuris kenkėjišką kodą pateiktų į SPI lustą.
Kodėl „MoonBounce“ kenkėjiška programa yra ypatinga?
Kaip jau buvo paaiškinta, šios kenkėjiškos programos unikalios galimybės yra UEFI programinėje įrangoje, todėl ją daug sunkiau nustatyti ir pašalinti. Tačiau ši savybė suteikia jai ir daug kitų privalumų. Pradedantiesiems nereikia paleisti sistemos paleidimo, kaip dauguma šiuolaikinių kenkėjiškų programų – vietoj to ji gali veikti nepriklausomai nuo operacinės sistemos.
Žinoma, dėl to, kad „MoonBounce“ kenkėjiška programa yra slapta, jos funkcijos yra gana ribotos. Deja, jo galimybė saugoti duomenis UEFI programinėje įrangoje ir veikti iš sistemos atminties paverčia ją labai sunkiai sprendžiama grėsme. Atrodo, kad pagrindinis jos tikslas yra leisti užpuolikams įdiegti papildomų kenkėjiškų programų užkrėstuose įrenginiuose – kaip ir Trojan Dropper.
Panašu, kad MoonBounce kenkėjiškų programų paveiktų aukų slapti duomenys buvo išfiltruoti iš jų įrenginių – pramoninis šnipinėjimas greičiausiai bus pagrindinis šios konkrečios kampanijos tikslas. Kenkėjiškų programų tyrinėtojų teigimu, „MoonBounce“ kampanija atrodo labai panaši į ankstesnes Kinijos grėsmių veikėjo APT41 kampanijas.
