Moonbounce, bootkit de firmware atribuit grupului chinez APT41, arată că  normele de securitate pentru Windows 11 sunt legitime

0
Publicat:
Ultima actualizare:
FOTO Shutterstock
FOTO Shutterstock

Cercetătorii Kaspersky au descoperit un al treilea caz de bootkit de firmware, MoonBounce, care este ascuns de atacatori în firmware-ul UEFI (Unified Extensible Firmware Interface) al unui computer, în flash-ul SPI.

Astfel de implanturi sunt foarte dificil de îndepărtat şi au o vizibilitate limitată pentru produsele de securitate. Apărând pentru prima dată în primăvara anului 2021, MoonBounce demonstrează un flux de atac sofisticat, cu progrese evidente în comparaţie cu bootkit-urile firmware UEFI raportate anterior. 

Cercetătorii Kaspersky au atribuit atacul cu un grad de credibilit bine-cunoscutului actor APT41.

Firmware-ul UEFI este o componentă critică în majoritatea echipamentelor, codul său fiind cel care porneşte dispozitivele şi transferă controlul către software-ul care încarcă sistemul de operare. Acest cod se află în ceea ce se numeşte memoria flash SPI, un mediu de stocare nevolatil, în afara hard disk-ului. Dacă acest firmware conţine cod rău intenţionat, atunci acest cod va fi lansat înainte de sistemul de operare, ceea ce face ca malware-ul implantat de un bootkit de firmware să fie deosebit de dificil de şters; nu poate fi eliminat pur şi simplu prin reformatarea unui hard disk sau reinstalarea unui sistem de operare.

Mai mult, deoarece codul este situat în afara hard disk-ului, activitatea unor astfel de bootkit-uri rămâne, practic, nedetectată de majoritatea soluţiilor de securitate, cu excepţia cazului în care au o funcţie care scanează în mod specific această parte a dispozitivului.

MoonBounce este doar al treilea bootkit UEFI raportat, descoperit în libertate. A apărut în primăvara anului 2021 şi a fost detectat pentru prima dată de cercetătorii Kaspersky când analizau activitatea Firmware Scanner-ului lor, care a fost inclus în produsele Kaspersky de la începutul lui 2019 pentru a detecta în mod specific ameninţările care se ascund în BIOS-ul ROM, inclusiv imaginile firmware UEFI. În comparaţie cu cele două bootkit-uri descoperite anterior, LoJax şi MosaicRegressor, MoonBounce a făcut progrese semnificative, cu un flux de atac mai complicat şi o tehnică mult mai sofisticată.  

Implantul se află în componenta CORE_DXE a firmware-ului care este apelată devreme pe  parcursul secvenţei de pornire UEFI. Apoi, printr-o serie de acţiuni de tip hooks (cârlige), care interceptează anumite funcţii, părţi ale implantului îşi fac drum în sistemul de operare, de unde comunică cu un server de comandă şi control pentru a descărca şi mai multe componente rău intenţionate. Este de remarcat faptul că lanţul de infecţie în sine nu lasă urme pe hard disk, deoarece componentele sale funcţionează doar în memorie, facilitând astfel un atac fără fişiere cu o amprentă redusă.

Analizând MoonBounce, cercetătorii Kaspersky au descoperit mai multe loader-e rău intenţionate şi programe malware post-exploatare în mai multe noduri ale aceleiaşi reţele. Acestea includ ScrambleCross sau Sidewalk, un implant în memorie care poate comunica cu un server C2 pentru a face schimb de informaţii şi a executa plugin-uri suplimentare, Mimikat_ssp, un instrument de post-exploatare disponibil public, folosit pentru a descărca acreditările şi secretele de securitate, un backdoor necunoscut anterior bazat pe Golang, şi Microcin, malware care este folosit de obicei de actorul de ameninţări SixLittleMonkeys.

Vectorul exact de infecţie rămâne necunoscut, totuşi, se presupune că infecţia are loc prin acces de la distanţă la echipamentul vizat. În plus, în timp ce LoJax şi MosaicRegressor au folosit adăugări de drivere DXE, MoonBounce modifică o componentă firmware existentă, pentru un atac mai subtil şi mai ascuns.

În campania generală împotriva reţelei în cauză, a fost evident că atacatorii au efectuat o gamă largă de acţiuni, cum ar fi arhivarea fişierelor şi strângerea de informaţii despre reţea. Comenzile folosite de atacatori pe parcursul activităţii lor sugerează că erau interesaţi de mişcarea laterală şi de exfiltrarea datelor şi, având în vedere că a fost folosit un implant UEFI, este probabil că atacatorii au fost interesaţi să desfăşoare activităţi de spionaj.

Cercetătorii Kaspersky au atribuit MoonBounce cu un grad considerabil de încredere atacatorului APT41, cunoscut actor vorbitor de limbă chineză şi care a derulat campanii de spionaj cibernetic şi criminalitate cibernetică în întreaga lume cel puţin din anul 2012. În plus, existenţa unora dintre programele malware menţionate mai sus în aceeaşi reţea sugerează o posibilă conexiune între APT41 şi alţi actori de ameninţare vorbitori de limbă chineză.

Până acum, bootkit-ul firmware-ului a fost găsit doar într-un singur caz. Cu toate acestea, alte mostre afiliate rău intenţionate (de exemplu, ScrambleCross şi loaderele sale) au fost găsite în reţelele altor câtorva victime.

„Deşi nu putem conecta cu certitudine implanturile de malware suplimentare găsite în timpul cercetării noastre cu MoonBounce, se pare că unii actori de ameninţări vorbitori de limbă chineză se ajută reciproc cu instrumente în diferitele lor campanii; se pare că există o conexiune de încredere scăzută între MoonBounce şi Microcin”, susţine Denis Legezo, cercetător senior GReAT.

„Acest ultim bootkit UEFI prezintă aceleaşi progrese notabile în comparaţie cu MosaicRegressor, despre care am raportat încă din 2020. De fapt, transformarea unei componente de bază anterior benigne din firmware într-una care poate facilita implementarea malware-ului în sistem este o inovaţie care nu a fost văzută până acum, în bootkit-uri firmware comparabile şi face ameninţarea mult mai greu de detectat. Am prezis încă din 2018 că ameninţările UEFI vor câştiga în popularitate, iar această tendinţă pare să se materializeze. Nu am fi surprinşi să găsim alte bootkit-uri în 2022. Din fericire, vânzătorii au început să acorde mai multă atenţie atacurilor de firmware, iar mai multe tehnologii de securitate a firmware-ului, cum ar fi BootGuard şi Trusted Platform Modules, sunt adoptate treptat”, comentează Mark Lechtik, cercetător senior Global Research and Analysis Team (GReAT) la Kaspersky.

Pentru mai multe detalii despre analiza MoonBounce, raportul complet este disponibil pe Securelist.

Pentru a rămâne protejat în ceea ce priveşte bootkit-urile UEFI precum MoonBounce, Kaspersky recomandă:

  • Oferiţi echipei dumneavoastră SOC acces la cele mai recente informaţii despre ameninţări (TI). Kaspersky Threat Intelligence Portal este un singur punct de acces pentru TI al companiei, oferind date şi informaţii despre atacurile cibernetice adunate de Kaspersky de-a lungul a peste 20 de ani.
  • Pentru detectarea la nivel endpoint, investigarea şi remedierea în timp util a incidentelor, implementaţi soluţii EDR, cum ar fi Kaspersky Endpoint Detection and Response.
  • Utilizaţi un produs complex de securitate pentru nivelul endpoint, care să poată detecta utilizarea firmware-ului, cum ar fi Kaspersky Endpoint Security for Business.
  • Actualizaţi în mod regulat firmware-ul UEFI şi utilizaţi numai firmware de la furnizori de încredere.
  • Activaţi Secure Boot în mod implicit, în special BootGuard şi TPM-urile, acolo unde este cazul.
Tehnologie



Partenerii noștri

Ultimele știri
Cele mai citite