Szkodliwy implant zagrożeniem dla współczesnych maszyn

MoonBounce, który po raz pierwszy został zauważony w rzeczywistych warunkach wiosną 2021 r., cechuje się wyrafinowanym przebiegiem ataku, który jest o wiele bardziej zaawansowany w porównaniu ze znanymi wcześniej bootkitami oprogramowania UEFI. Kampania, w której wykorzystano nowy szkodliwy program, została przypisana z wysokim poziomem pewności dobrze znanemu zaawansowanemu cybergangowi o nazwie APT41.

Oprogramowanie układowe UEFI stanowi krytyczny komponent ogromnej większości komputerów. Jego kod odpowiada za uruchomienie urządzenia i przekazanie kontroli oprogramowaniu, które ładuje system operacyjny. Kod ten znajduje się w pamięci nieulotnej flash SPI, która nie jest dostępna dla użytkownika. Jeśli takie oprogramowanie zawiera szkodliwy kod, będzie on uruchamiany przed startem systemu operacyjnego. W efekcie szkodliwe oprogramowanie będzie szczególnie trudne do usunięcia - samo sformatowanie dysku twardego lub przeinstalowanie systemu operacyjnego nie wystarczy. Co więcej, zlokalizowanie kodu poza dyskiem twardym oznacza, że aktywność takich bootkitów jest praktycznie niewykrywalna dla większości rozwiązań bezpieczeństwa, jeśli nie posiadają one wyspecjalizowanej funkcji, która skanuje tę część urządzenia.

MoonBounce jest zaledwie trzecim znanym bootkitem UEFI wykrytym w rzeczywistych warunkach. Pojawił się wiosną 2021 r. i został po raz pierwszy zidentyfikowany przez badaczy z firmy Kaspersky. W porównaniu z dwoma wcześniej wykrytymi bootkitami, LoJax oraz MosaicRegressor, MoonBounce charakteryzuje się wysokim poziomem zaawansowania, wykazując bardziej złożony przebieg ataku oraz większe wyrafinowanie techniczne.

Jak dotąd nowy bootkit został wykryty na jednej maszynie należącej do firmy holdingowej działającej na rynku technologicznym, jednak w sieciach kilku innych ofiar znaleziono powiązane z nim szkodliwe próbki.