MoonBounce, новая вредоносная программа UEFI на свободе
UEFI, сокращение от Unified Extensible Firmware Interface, представляет собой системный компонент, который соединяет операционную систему с остальными системными микропрограммами и устройствами. Это низкоуровневый компонент, который не стирается/не перезаписывается в случае форматирования жесткого диска или переустановки операционной системы. И именно поэтому он так интересен киберпреступникам — разработка UEFI-вредоносного ПО позволяет им сохранять устойчивость на скомпрометированном устройстве, скрываясь глубоко в компонентах системы. Даже если жертва попытается переустановить свою операционную систему, удалить вредоносный модуль не удастся. Последняя часть вредоносного ПО UEFI, обнаруженная в дикой среде MoonBounce Malware, — она присоединяется к ряду других имплантатов, которые могут находиться внутри UEFI.
Микропрограмма UEFI обычно хранится на микросхеме памяти последовательного периферийного интерфейса (SPI) на материнских платах компьютеров. Чтобы его скомпрометировать, злоумышленникам потребуется установить вредоносное обновление прошивки, которое доставит вредоносный код на микросхему SPI.
Почему вредоносное ПО MoonBounce особенное?
Как уже объяснялось, уникальная способность этой вредоносной программы находится в прошивке UEFI, что значительно затрудняет ее идентификацию и удаление. Но это свойство также дает ему много других преимуществ. Во-первых, ему не нужно запускаться при запуске системы, как большинству современных вредоносных программ, вместо этого он может работать независимо от операционной системы.
Конечно, из-за скрытности вредоносного ПО MoonBounce его возможности весьма ограничены. К сожалению, его способность хранить свои данные в прошивке UEFI и работать из системной памяти делает его очень сложной угрозой. Похоже, что его основная цель — позволить злоумышленникам развертывать дополнительные вредоносные программы на зараженных устройствах — точно так же, как Trojan Dropper.
Похоже, что у жертв, затронутых вредоносным ПО MoonBounce, были похищены конфиденциальные данные с их устройств — промышленный шпионаж, вероятно, будет основной целью этой конкретной кампании. По словам исследователей вредоносного ПО, кампания MoonBounce очень похожа на предыдущие кампании, проведенные APT41, китайским злоумышленником.