Cercetătorii Kaspersky au descoperit un al treilea caz de bootkit de firmware. Numit MoonBounce, acest implant rău intenționat este ascuns în firmware-ul UEFI (Unified Extensible Firmware Interface) al unui computer, o parte esențială a computerelor, în flash-ul SPI, o componentă de stocare din afara hard disk-ului. Astfel de implanturi sunt foarte dificil de îndepărtat și au o vizibilitate limitată pentru produsele de securitate. Apărând pentru prima dată în wild în primăvara anului 2021, MoonBounce demonstrează un flux de atac sofisticat, cu progrese evidente în comparație cu bootkit-urile firmware UEFI raportate anterior. Cercetătorii Kaspersky au atribuit atacul cu un grad de credibilit bine-cunoscutului actor APT41, APT41.
Firmware-ul UEFI este o componentă critică în majoritatea echipamentelor; codul său fiind cel care pornește dispozitivele și transferă controlul către software-ul care încarcă sistemul de operare. Acest cod se află în ceea ce se numește flash SPI, un mediu de stocare nevolatil, în afara hard disk-ului. Dacă acest firmware conține cod rău intenționat, atunci acest cod va fi lansat înainte de sistemul de operare, ceea ce face ca malware-ul implantat de un bootkit de firmware să fie deosebit de dificil de șters; nu poate fi eliminat pur și simplu prin reformatarea unui hard disk sau reinstalarea unui sistem de operare. Mai mult, deoarece codul este situat în afara hard disk-ului, activitatea unor astfel de bootkit-uri rămâne, practic, nedetectată de majoritatea soluțiilor de securitate, cu excepția cazului în care au o funcție care scanează în mod specific această parte a dispozitivului.
MoonBounce este doar al treilea bootkit UEFI raportat, descoperit în wild. A apărut în primăvara anului 2021 și a fost detectat pentru prima dată de cercetătorii Kaspersky când analizau activitatea Firmware Scanner-ului lor, care a fost inclus în produsele Kaspersky de la începutul lui 2019 pentru a detecta în mod specific amenințările care se ascund în BIOS-ul ROM, inclusiv imaginile firmware UEFI. În comparație cu cele două bootkit-uri descoperite anterior, LoJax și MosaicRegressor, MoonBounce a făcut progrese semnificative, cu un flux de atac mai complicat și o tehnică mult mai sofisticată.
Implantul se află în componenta CORE_DXE a firmware-ului care este apelată devreme pe parcursul secvenței de pornire UEFI. Apoi, printr-o serie de acțiuni de tip hooks, care interceptează anumite funcții, componentele implantului își fac drum în sistemul de operare, de unde comunică cu un server de comandă și control pentru a adduce și mai multe încărcături utile rău intenționate. Este de remarcat faptul că lanțul de infecție în sine nu lasă urme pe hard disk, deoarece componentele sale funcționează doar în memorie, facilitând astfel un atac fără fișiere cu o amprentă redusă.
Analizând MoonBounce, cercetătorii Kaspersky au descoperit mai multe loader-e rău intenționate și programe malware post-exploatare în mai multe noduri ale aceleiași rețele. Acestea includ ScrambleCross sau Sidewalk, un implant în memorie care poate comunica cu un server C2 pentru a face schimb de informații și a executa plugin-uri suplimentare, Mimikat_ssp, un instrument de post-exploatare disponibil public, folosit pentru a descărca acreditările și secretele de securitate, un backdoor necunoscut anterior bazat pe Golang, și Microcin, malware care este folosit de obicei de actorul de amenințări SixLittleMonkeys.
Vectorul exact de infecție rămâne necunoscut, totuși, se presupune că infecția are loc prin acces de la distanță la echipamentul vizat. În plus, în timp ce LoJax și MosaicRegressor au folosit adăugări de drivere DXE, MoonBounce modifică o componentă firmware existent, pentru un atac mai subtil și mai ascuns.
În campania generală împotriva rețelei în cauză, a fost evident că atacatorii au efectuat o gamă largă de acțiuni, cum ar fi arhivarea fișierelor și strângerea de informații despre rețea. Comenzile folosite de atacatori pe parcursul activității lor sugerează că erau interesați de mișcarea laterală și de exfiltrarea datelor și, având în vedere că a fost folosit un implant UEFI, este probabil că atacatorii au fost interesați să desfășoare activități de spionaj.
Cercetătorii Kaspersky au atribuit MoonBounce cu un grad considerabil de încredere atacatorului APT41, cunoscut actor vorbitor de limbă chineză și care a derulat campanii de spionaj cibernetic și criminalitate cibernetică în întreaga lume cel puțin din anul 2012. În plus, existența unora dintre programele malware menționate mai sus în aceeași rețea sugerează o posibilă conexiune între APT41 și alți actori de amenințare vorbitori de limbă chineză.
Până acum, bootkit-ul firmware-ului a fost găsit doar într-un singur caz. Cu toate acestea, alte mostre afiliate rău intenționate (de exemplu, ScrambleCross și loaderele sale) au fost găsite în rețelele altor câtorva victime.
„Deși nu putem conecta cu certitudine implanturile de malware suplimentare găsite în timpul cercetării noastre cu MoonBounce, se pare că unii actori de amenințări vorbitori de limbă chineză se ajută reciproc cu instrumente în diferitele lor campanii; se pare că există o conexiune de încredere scăzută între MoonBounce și Microcin”, susține Denis Legezo, cercetător senior GReAT.
„Acest ultim bootkit UEFI prezintă aceleași progrese notabile în comparație cu MosaicRegressor, despre care am raportat încă din 2020. De fapt, transformarea unei componente de bază anterior benigne din firmware într-una care poate facilita implementarea malware-ului în sistem este o inovație care nu a fost văzută până acum, în bootkit-uri firmware comparabile și face amenințarea mult mai greu de detectat. Am prezis încă din 2018 că amenințările UEFI vor câștiga în popularitate, iar această tendință pare să se materializeze. Nu am fi surprinși să găsim alte bootkit-uri în 2022. Din fericire, vânzătorii au început să acorde mai multă atenție atacurilor de firmware, iar mai multe tehnologii de securitate a firmware-ului, cum ar fi BootGuard și Trusted Platform Modules, sunt adoptate treptat”, comentează Mark Lechtik, cercetător senior Global Research and Analysis Team (GReAT) la Kaspersky.
Pentru a rămâne protejat în ceea ce privește bootkit-urile UEFI precum MoonBounce, Kaspersky recomandă:
- Oferiți echipei dumneavoastră SOC acces la cele mai recente informații despre amenințări (TI). Kaspersky Threat Intelligence Portal este un singur punct de acces pentru TI al companiei, oferind date și informații despre atacurile cibernetice adunate de Kaspersky de-a lungul a peste 20 de ani.
- Pentru detectarea la nivel endpoint, investigarea și remedierea în timp util a incidentelor, implementați soluții EDR, cum ar fi Kaspersky Endpoint Detection and Response.
- Utilizați un produs complex de securitate pentru nivelul endpoint, care să poată detecta utilizarea firmware-ului, cum ar fi Kaspersky Endpoint Security for Business.
- Actualizați în mod regulat firmware-ul UEFI și utilizați numai firmware de la furnizori de încredere.
- Activați Secure Boot în mod implicit, în special BootGuard și TPM-urile, acolo unde este cazul.