Istraživači kompanije Kaspersky otkrili su treći slučaj firmver bootkita u divljini. Nazvan MoonBounce, ovaj maliciozni implant skriven je unutar Unified Extensible Firmware Interface (UEFI) firmvera računara, ključnog dela računara, u SPI flešu, komponenti za skladištenje koja se nalazi izvan hard diska. Takvi implanti su poznati po tome što ih je teško ukloniti i ograničene su vidljivosti za bezbednosne proizvode. Nakon što se prvi put pojavio u divljini u proleće 2021. godine, MoonBounce je pokazao sofisticiran tok napada, sa evidentnim napretkom u poređenju sa ranije prijavljenim UEFI firmver bootkitovima. Istraživači kompanije Kaspersky su sa određenom sigurnošću pripisali napad dobro poznatom akteru naprednih upornih pretnji (APT) APT41.
UEFI firmver predstavlja ključnu komponentu u velikoj većini uređaja; njegov kod je odgovoran za podizanje uređaja i prenos kontrole na softver koji učitava operativni sistem. Ovaj kod se nalazi u takozvanom SPI flešu, non-volatile skladištu koje se nalazi izvan hard diska. Ako ovaj firmver sadrži maliciozni kod, onda će se taj kod pokrenuti pre operativnog sistema, što naročito otežava brisanje malvera implantiranog firmver bootkitom; ne može se ukloniti jednostavnim reformatiranjem hard diska ili ponovnom instalacijom operativnog sistema. Štaviše, budući da se kod nalazi izvan hard diska, većina bezbednosnih rešenja praktično ne može da otkrije aktivnosti takvih bootkitova osim ako nemaju posebnu funkciju za skeniranje ovog dela uređaja.
MoonBounce je tek treći prijavljeni UEFI bootkit pronađen u divljini. Pojavio se u proleće 2021. i prvi su ga otkrili istraživači kompanije Kaspersky kada su analizirali aktivnost njihovog Firmware Scanner rešenja, koje je bilo uključeno u Kaspersky proizvode od početka 2019. namenjeno za detektovanje pretnji koje se kriju u ROM BIOS, uključujući slike UEFI firmvera. U poređenju sa dva prethodno otkrivena bootkita, LoJax i MosaicRegressor, MoonBounce pokazuje značajan napredak uz komplikovaniji tok napada i veću tehničku sofisticiranost.
Implant se nalazi u CORE_DXE komponenti firmvera, koja rano stupa na scenu tokom UEFI boot sekvence. Zatim, kroz niz hookova koji presreću određene funkcije, komponente implanta ulaze u operativni sistem, gde dopiru do command & control servera kako bi povratile dalje maliciozne sadržaje, koje mi nismo uspeli da povratimo. Bitno je napomenuti da sam lanac infekcije ne ostavlja nikakve tragove na hard disku, jer njegove komponente rade samo u memoriji, čime se olakšava napad bez fajlova sa malim otiskom.
Dok su analizirali MoonBounce, istraživači kompanije Kaspersky su otkrili nekoliko malicioznih loadera i post-eksploatatorski malver na nekoliko čvorova iste mreže. To uključuje ScrambleCross ili Sidewalk, implant u memoriji koji može da komunicira sa C2 serverom kako bi razmenili informacije i izvršili dodavanje pluginova, Mimikat_ssp, javno dostupan post-eksploatatorski alat koji se koristi za izbacivanje kredencijala i bezbednosnih tajni, ranije nepoznati backdoor baziran na Golang programskom jeziku, i Microcin, malver koji obično koristi akter pretnji SixLittleMonkeys.
Tačan vektor infekcije ostaje nepoznat, međutim, pretpostavlja se da se infekcija događa putem udaljenog pristupa targetiranom uređaju. Osim toga, dok su LoJax i MosaicRegressor koristili dodatke DXE drajvera, MoonBounce modifikuje postojeću komponentu firmvera za postizanje suptilnijeg i skrivenijeg napada.
U celokupnoj kampanji protiv dotične mreže bilo je evidentno da su napadači sprovodili širok opseg radnji, poput arhiviranja fajlova i prikupljanja mrežnih informacija. Naredbe koje su napadači koristili tokom svoje aktivnosti sugerišu da su bili zainteresovani za bočno kretanje i eksfiltraciju podataka, a s obzirom na to da je korišćen UEFI implant, verovatno je da su napadači bili zainteresovani za sprovođenje stalne špijunske aktivnosti.
Istraživači kompanije Kaspersky su sa značajnom sigurnošću pripisali MoonBounce APT41 akteru, za kog se naširoko izveštava da je akter pretnji sa kineskog govornog područja koji bar od 2012. godine širom sveta sprovodi kampanje sajber špijunaže i sajber kriminala. Osim toga, postojanje nekih od gore pomenutih malvera u istoj mreži sugeriše moguću vezu između APT41 i drugih aktera pretnji sa kineskog govornog područja.
Za sada je firmver bootkit pronađen samo u jednom slučaju. Međutim, drugi povezani maliciozni uzorci (npr. ScrambleCross i njegovi loaderi) pronađeni su na mrežama nekoliko drugih žrtava.
„Iako ne možemo definitivno da povežemo dodatne implantе malvera pronađene tokom našeg istraživanja sa MoonBounce akterom, čini se kao da neki akteri pretnji sa kineskog govornog područja dele alate jedni sa drugima kako bi pomogli u njihovim različitim kampanjama; posebno se čini da sa manjom sigurnošću postoji veza između MoonBounce i Microcin aktera,” dodaje Denis Legezo, glavni istraživač bezbednosti u GReAT timu.
„Možda još važnije, ovaj najnoviji UEFI bootkit pokazuje isti značajan napredak u poređenju sa MosaicRegressor akterom, o kom smo izveštavali još 2020. godine. Zapravo, transformacija prethodno benigne ključne komponente u firmveru u onu koja može olakšati implementaciju malvera na sistem je inovacija koja nije viđena u prethodnim uporedivim firmver bootkitovima u divljini što čini pretnju daleko skrivenijom. Još 2018. godine smo predvideli da će UEFI pretnje dobiti na popularnosti, i čini se da se ovaj trend materijalizuje. Ne bismo se iznenadili da pronađemo dodatne bootkitove 2022. godine. Na sreću, vendori su počeli da obraćaju više pažnje na firmver napade, i sve više firmver bezbednosnih tehnologija, kao što su BootGuard i Trusted Platform Modules, se postepeno usvajaju,” komentariše Mark Lehtik (Mark Lechtik), glavni istraživač za bezbednost u globalnom timu za istraživanje i analizu (GReAT) kompanije Kaspersky.