Przetrwa nawet formatowanie dysku. Nowy typ złośliwego oprogramowania

Złośliwe oprogramowanie staje się coraz "sprytniejsze", ale w skrajnym przypadku usunięcie intruza było możliwe formatowaniem dysku.

HakerHaker
Źródło zdjęć: © Pixabay
Przemysław Juraszek
Przemysław Juraszek

Najnowszy okaz może się schować w kości pamięci, w której jest zapisany BIOS, a więc prościej znajduje bezpieczną przystań w płycie głównej. Z tego względu jest on w stanie przetrwać formatowanie dysku i instalację systemu operacyjnego.

Nowość, o której donosi Securelist wykryła na początku br. firma Kaspersky, a badacze bezpieczeństwa ochrzcili nowość mianem MoonBounce. Jest to znaczący progres wobec dotychczasowych zagrożeń sprzętowych typu Unified Extensible Firmware Interface (UEFI) obserwowanych przez firmę od 2019 roku, które ukrywały się na partycji systemowej EFI urządzenia pamięci masowej komputera. Tymczasem nowość wstrzykuje złośliwy kod do pamięci flash interfejsu SPI płyty głównej.

Ukraina. Masowy cyberatak na strony rządowe. Hakerzy zostawili komunikat po polsku
Ukraina. Masowy cyberatak na strony rządowe. Hakerzy zostawili komunikat po polsku

Co ciekawe jak przyznaje Kaspersky MoonBounce nie jest pierwszym złośliwym oprogramowaniem UEFI atakującym SPI, bo przed nim pojawiły się LoJax i MosaicRegressor, ale znaczącym progresem wobec tych dwóch jest to, że zainfekował komputer zdalnie.

Schemat działania MoonBounce
Schemat działania MoonBounce © Kaspersky

Następnie wieloetapowy łańcuch haków umożliwia wstrzykiwanie złośliwego kodu do innych komponentów rozruchowych podczas uruchamiania systemu w tym do przestrzeni adresowej pamięci jądra Windowsa. Oprogramowanie działające w trybie użytkownika (wstrzyknięte w proces svchost.exe) próbuje wykonać następny etap ataku, aczkolwiek badacze nie byli w stanie go pozyskać. Wyglądało to, jakby oprogramowanie było jeszcze w fazie testowania.

Badacze Kasperskiego wydają się być pewni, że oprogramowanie MoonBounce jest dziełem chińskiej grupy APT41, która ma bogatą historię ataków na obiekty przemysłowe.

Wielkie Badanie Społeczności IT 2022. Poznaj realny przekrój branży
Wielkie Badanie Społeczności IT 2022. Poznaj realny przekrój branży
Wybrane dla Ciebie
Największy znany współczesny krater uderzeniowy. Odkryto go w Chinach
Największy znany współczesny krater uderzeniowy. Odkryto go w Chinach
Astronomowie czekali na to od dekad. Pierwszy CME na innej gwieździe
Astronomowie czekali na to od dekad. Pierwszy CME na innej gwieździe
Księżyce swobodnych planet. To najciekawsze obiekty w kosmosie
Księżyce swobodnych planet. To najciekawsze obiekty w kosmosie
Rosjanie szukają klienta na myśliwce. Postawili na egzotyczny kierunek
Rosjanie szukają klienta na myśliwce. Postawili na egzotyczny kierunek
Zginęło ponad 200 delfinów. Temperatura jezior sięgnęłą 41°C
Zginęło ponad 200 delfinów. Temperatura jezior sięgnęłą 41°C
IRIS-T dla Ukrainy. Niemcy wzmacniają tarczę powietrzną
IRIS-T dla Ukrainy. Niemcy wzmacniają tarczę powietrzną
Wyjątkowe zjawisko. Zamiast ogona wyrosła druga głowa
Wyjątkowe zjawisko. Zamiast ogona wyrosła druga głowa
Bardzo dobra wiadomość. Enceladus traci ciepło na obu biegunach
Bardzo dobra wiadomość. Enceladus traci ciepło na obu biegunach
Rosja przerzuca sprzęt. Ukraińcy nie mają wątpliwości, jaki jest powód
Rosja przerzuca sprzęt. Ukraińcy nie mają wątpliwości, jaki jest powód
Podwodne wysypisko śmieci. Odpady na głębokości 5 km
Podwodne wysypisko śmieci. Odpady na głębokości 5 km
Tu może uderzyć obiekt międzygwiezdny. Najwyższe ryzyko
Tu może uderzyć obiekt międzygwiezdny. Najwyższe ryzyko
Nowe czołgi T-80BWM. Rosjanin mówi prawdę o jakości maszyn
Nowe czołgi T-80BWM. Rosjanin mówi prawdę o jakości maszyn
ZACZEKAJ! ZOBACZ, CO TERAZ JEST NA TOPIE 🔥