Безбедносните истражувачи од Kaspersky открија нов „bootkit“ наречен MoonBounce кој може да го зарази UEFI фирмверот на компјутерот.
Она што го прави MoonBounce посебен е фактот што тој не се крие во дел од хард дискот наречен ESP (EFI System Partition), каде што обично се наоѓа кодот UEFI, туку наместо тоа ја инфицира флеш меморијата SPI што се наоѓа на матичната плоча.
Ова значи дека, за разлика од сличните „bootkit“, оперативниот систем не може повторно да се инсталира и хард дискот да се замени, бидејќи тој ќе остане на заразениот уред додека повторно не се „флешне“ меморијата SPI (многу сложен процес) или не се замени матичната плоча.
Според истражувачите, MoonBounce е трет UEFI bootkit, по LoJax и MosaicRegressor, кој досега го виделе, кој може да зарази и живее во флеш меморија.
Во последниве месеци беа откриени други „буткитови“, како што се ESPectre, FinSpy и други, што ги наведе истражувачите на Kaspersky да заклучат дека она што некогаш се сметаше за неостварливо по воведувањето на стандардот UEFI постепено стана норма.
Истражувачите рекоа дека MoonBounce се користел како начин да се обезбеди пристап до заразен компјутер и да се примени малициозен софтвер од втора фаза за извршување на различни операции.
Истражувачите рекоа дека откриле дека MoonBounce се користел само еднаш, на мрежата на компанија за транспортни услуги, и дека врз основа на друг малициозен софтвер пронајден на заразената мрежа, тие веруваат дека „буткитот“ е дело на APT41, група за сајбер шпионажа за која се верува дека функционира во името на кинеската влада.
Доказ за тоа е фактот што и MoonBounce и малициозниот софтвер пронајден на мрежата на споменатата компанија комуницирале со истиот сервер, од каде најверојатно добиле инструкции од APT31.
Единствениот детал што останува мистерија за тимот на Kaspersky е како воопшто бил инсталиран „буткитот“.
„Како безбедносна мерка против овој и слични напади, се препорачува редовно ажурирање на фирмверот на UEFI и проверување дали BootGuard, каде што е променливо, е овозможен. Исто така, се препорачува да се активираат Trust Platform Modules, во случај хардверот да биде поддржан на компјутерот“, велат од тимот на Kaspersky.
