Исследователи из антивирусной компании "Касперский" недавно обнаружили опасную вредоносную программу, которая спрятана глубоко в прошивке унифицированного расширяемого интерфейса микропрограммного обеспечения (UEFI) компьютера одного из клиентов.
Вредоносный имплант под названием "MoonBounce" спрятан в прошивке UEFI в SPI-флэш-памяти на материнской плате зараженного компьютера, а не на жестком диске, как другие буткиты UEFI.
Это означает, что он переносится в систему, даже если жесткий диск был заменен или переформатирован, говорит Касперский. По сути, опасная вредоносная программа может пережить переустановку ОС.
'MoonBounce', опасная вредоносная программа на уровне прошивки
Руткиты на основе микропрограммного обеспечения становятся все более популярными, поскольку они дают возможность субъектам угроз поддерживать постоянное, труднообнаруживаемое и трудноустранимое существование в целевой сети.
Компания "Касперский" обнаружила вредоносную программу на базе Windows в прошлом году, работающую на одном компьютере. Остается неясным, как вредоносный код смог заразить систему.
Кроме того, вредоносная программа была разработана для работы с микропрограммой UEFI компьютера, которая помогает загружать систему.
Имплант был разработан для того, чтобы позволить развернуть дополнительные вредоносные программы на системе жертвы. Другие улики на той же системе указывают на то, что MoonBounce использовался как часть более широкой кампании кибершпионажа.
Исследователи из "Касперского" также смогли с высокой степенью уверенности аккредитовать APT41 - известную китайскоязычную группу передовых постоянных угроз (APT).
Обнаружив эту угрозу в конце прошлого года, "Касперский" немедленно и конфиденциально сообщил о ней клиентам своего сервиса APT.
По словам Марка Лехтика, старшего исследователя глобальной исследовательско-аналитической группы Касперского (GReAT), "мы решили обнародовать эту информацию вскоре после обнаружения, поскольку считаем, что эти знания полезны для сообщества".
Цель состоит в том, чтобы позволить защитникам "понять, как развивались атаки на прошивку UEFI, и [чтобы] позволить специалистам "синих команд" лучше защищаться от этого типа угроз".
Устраняется ли угроза?
Угроза атак на уровне микропрограммного обеспечения тревожно возросла. В исследовании 2021 года 83% организаций заявили, что подверглись такой атаке.
Эти организации подтолкнули производителей микросхем, аппаратного обеспечения и ОС к выпуску обновлений, чтобы укрепить свои технологии против этой угрозы.
Существуют такие приложения, как Secure Boot, которые предназначены для обеспечения загрузки компьютера с использованием только доверенного загрузочного программного обеспечения. Существует также другое программное обеспечение, которое защищает от угрозы внесения злоумышленниками несанкционированных изменений в программное обеспечение уровня загрузки.
Примером может служить модуль Trusted Platform Module (TPM), который уже более 10 лет обеспечивает целостность системы при загрузке.
К сожалению, по словам Лектека, программное обеспечение типа Secure Boot будет бесполезно в борьбе с вредоносным ПО.
"Классическая Secure Boot не учитывает компоненты на уровне прошивки при проверке подлинности компонентов в последовательности загрузки. Сам MoonBounce не делает ничего, чтобы обойти этот механизм. Он просто не вносит никаких изменений в образы, проверяемые Secure Boot, а лишь исправляет отражение этих образов в памяти после их загрузки", - добавил он.
Однако такие программы, как Boot Guard и TPM, успешно противостоят модификациям MoonBounce на уровне прошивки, говорит Лехтик.