® MinOtaVr'S Blog!

 

Ένα νέο είδος κακόβουλου λογισμικού που μπορεί να επιβιώσει από την επανεγκατάσταση του λειτουργικού συστήματος εντοπίστηκε πέρυσι να κρύβεται σε έναν υπολογιστή, σύμφωνα με τον πάροχο antivirus λογισμικού Kaspersky.
Η εταιρεία ανακάλυψε την περασμένη άνοιξη το malware που βασίζεται στα Windows να εκτελείται σε έναν μόνο υπολογιστή. Το πώς ο κακόβουλος κώδικας μόλυνε το σύστημα παραμένει ασαφές. Αλλά το κακόβουλο λογισμικό σχεδιάστηκε για να λειτουργεί στο υλικολογισμικό UEFI του υπολογιστή, το οποίο βοηθά στην εκκίνηση του συστήματος.

Το malware, που ονομάστηκε MoonBounce, είναι ιδιαίτερα τρομακτικό επειδή εγκαθίσταται στην SPI flash μνήμη της μητρικής κάρτας, αντί στη μονάδα αποθήκευσης του υπολογιστή. Ως εκ τούτου, το κακόβουλο λογισμικό μπορεί να παραμείνει ακόμη και αν εγκαταστήσετε ξανά το λειτουργικό σύστημα του υπολογιστή σας ή αλλάξετε τον αποθηκευτικό χώρο.
«Επιπλέον, επειδή ο κώδικας βρίσκεται εκτός του σκληρού δίσκου, η δραστηριότητα τέτοιων bootkit παραμένει ουσιαστικά απαρατήρητη από τις περισσότερες λύσεις ασφαλείας, εκτός εάν διαθέτουν μια δυνατότητα που σαρώνει συγκεκριμένα αυτό το μέρος της συσκευής», είπε η Kaspersky.
Η ανακάλυψη σηματοδοτεί την τρίτη φορά που η κοινότητα ασφαλείας αποκαλύπτει ένα κακόβουλο λογισμικό βασισμένο στο UEFI που έχει σχεδιαστεί για να παραμένει στη μνήμη flash ενός υπολογιστή. Οι δύο προηγούμενες περιλαμβάνουν το Lojax, το οποίο βρέθηκε να έχει μολύνει τον υπολογιστή ενός θύματος το 2018, και το Mosaic Regressor, το οποίο βρέθηκε σε μηχανήματα που ανήκαν σε δύο θύματα το 2020.
Το νέο στέλεχος, MoonBounce, σχεδιάστηκε για να ανακτά επιπλέον φορτία κακόβουλου λογισμικού που θα εγκατασταθούν στον υπολογιστή του θύματος. Ωστόσο, σύμφωνα με την Kaspersky, το MoonBounce είναι ακόμα πιο προηγμένο και απαρατήρητο επειδή μπορεί να χρησιμοποιήσει ένα «προηγουμένως καλοήθη» βασικό στοιχείο στο υλικολογισμικό της μητρικής κάρτας για να διευκολύνει την ανάπτυξη κακόβουλου λογισμικού.
«Η ίδια η αλυσίδα μόλυνσης δεν αφήνει ίχνη στον σκληρό δίσκο, καθώς τα εξαρτήματά της λειτουργούν μόνο στη μνήμη, διευκολύνοντας έτσι μια επίθεση χωρίς αρχεία με μικρό αποτύπωμα», πρόσθεσε η εταιρεία.
Η Kaspersky δεν κατονόμασε τον ιδιοκτήτη του μολυσμένου υπολογιστή, αλλά η εταιρεία έχει ανακαλύψει στοιχεία που υποδηλώνουν ότι ο κακόβουλος κώδικας είναι έργο μιας κινεζικής κρατικής ομάδας εν ονόματι APT41, η οποία είναι γνωστή για κυβερνοκατασκοπεία. Το 2020, το Υπουργείο Δικαιοσύνης των ΗΠΑ απήγγειλε κατηγορίες σε πέντε φερόμενα μέλη της hacking ομάδας για παραβίαση περισσότερων από 100 εταιρειών, συμπεριλαμβανομένων προγραμματιστών λογισμικών και βιντεοπαιχνιδιών, για κλοπή πηγαίου κώδικα, δεδομένων λογαριασμού πελατών και άλλης πνευματικής ιδιοκτησίας.
«Το MoonBounce βρέθηκε μόνο σε ένα μόνο μηχάνημα. Ωστόσο, άλλα συσχετιζόμενα κακόβουλα δείγματα έχουν βρεθεί στα δίκτυα πολλών άλλων θυμάτων», είπε η εταιρεία, ένα πιθανό σημάδι ότι το malware μπορεί να είναι πιο διαδεδομένο από ό,τι είναι γνωστό επί του παρόντος.
Η Kaspersky ανακάλυψε το MoonBounce επειδή ανέπτυξε έναν «σαρωτή firmware», ο οποίος μπορεί να τρέξει τα antivirus προγράμματα για να ανιχνεύσει παραβιάσεις στο UEFI. Ο ευκολότερος τρόπος για να αφαιρέσετε το MoonBounce από έναν υπολογιστή δεν είναι απολύτως σαφής. Αλλά θεωρητικά, θα πρέπει να είναι εφικτό κάνοντας reflash την SPI μνήμη στη μητρική κάρτα.
«Η κατάργηση του UEFI bootkit απαιτεί την αντικατάσταση του SPI flash με ένα καλό και επαληθευμένο υλικολογισμικό του προμηθευτή, είτε μέσω ενός καθορισμένου flash εργαλείου, είτε μέσω άλλων μεθόδων που παρέχονται από τον ίδιο τον προμηθευτή», είπε η Kaspersky στο PCMag. «Επιπλέον, συνιστάται να ελέγξετε εάν η υποκείμενη πλατφόρμα υποστηρίζει το Boot Guard και το TPM και να επικυρώσετε ότι υποστηρίζονται από το νέο υλικολογισμικό».
Ο πάροχος antivirus λογισμικού συνιστά επίσης να διατηρείτε ενημερωμένο το υλικολογισμικό UEFI, κάτι που μπορεί να γίνει μέσω ενημερώσεων BIOS από τον κατασκευαστή της μητρικής σας κάρτας.

[vla]