MoonBounce, nowe złośliwe oprogramowanie UEFI na wolności
UEFI, skrót od Unified Extensible Firmware Interface, to po prostu składnik systemowy, który łączy system operacyjny z resztą oprogramowania układowego i urządzeń systemu. Jest to składnik niskiego poziomu, który nie jest usuwany/nadpisywany w przypadku sformatowania dysku twardego lub ponownej instalacji systemu operacyjnego. I właśnie dlatego cyberprzestępcy są nim tak zainteresowani – rozwój szkodliwego oprogramowania UEFI pozwala im uzyskać trwałość na zaatakowanym urządzeniu, ukrywając się głęboko w komponentach systemu. Nawet jeśli ofiara spróbuje ponownie zainstalować swój system operacyjny, nie uda jej się usunąć szkodliwego modułu. Najnowszy kawałek złośliwego oprogramowania UEFI, który można znaleźć w dzikim oprogramowaniu MoonBounce Malware – dołącza do szeregu innych implantów, które mają zdolność rezydowania w UEFI.
Oprogramowanie układowe UEFI jest zwykle przechowywane w układzie pamięci masowej Serial Peripheral Interface (SPI) na płytach głównych komputerów. Aby go zhakować, osoby atakujące będą musiały wprowadzić złośliwą aktualizację oprogramowania układowego, która dostarczy złośliwy kod do układu SPI.
Dlaczego oferta dotycząca złośliwego oprogramowania MoonBounce jest dostępna w ofercie specjalnej?
Jak już wyjaśniono, unikalna zdolność tego szkodliwego oprogramowania zawarta w oprogramowaniu UEFI znacznie utrudnia jego identyfikację i usunięcie. Ale ta właściwość daje mu również wiele innych zalet. Po pierwsze, nie musi działać przy starcie systemu, jak większość współczesnego złośliwego oprogramowania – zamiast tego może działać niezależnie od systemu operacyjnego.
Oczywiście ze względu na to, jak skryte jest złośliwe oprogramowanie MoonBounce, jego funkcje są dość ograniczone. Niestety, jego zdolność do przechowywania danych w oprogramowaniu UEFI i działania z pamięci systemu sprawia, że jest to bardzo trudne zagrożenie. Wygląda na to, że jego głównym celem jest umożliwienie atakującym rozmieszczenie dodatkowego złośliwego oprogramowania na zainfekowanych urządzeniach – podobnie jak trojan dropper.
Wygląda na to, że ofiary dotknięte przez MoonBounce Malware miały poufne dane wykradzione ze swoich urządzeń – szpiegostwo przemysłowe jest prawdopodobnie głównym celem tej konkretnej kampanii. Według badaczy szkodliwego oprogramowania kampania MoonBounce jest bardzo podobna do poprzednich kampanii przeprowadzonych przez APT41, chińskiego aktora zajmującego się zagrożeniami.