Przetrwa nawet formatowanie dysku. Nowy typ złośliwego oprogramowania

Złośliwe oprogramowanie staje się coraz "sprytniejsze", ale w skrajnym przypadku usunięcie intruza było możliwe formatowaniem dysku.

HakerHaker
Źródło zdjęć: © Pixabay
Przemysław Juraszek
Przemysław Juraszek

Najnowszy okaz może się schować w kości pamięci, w której jest zapisany BIOS, a więc prościej znajduje bezpieczną przystań w płycie głównej. Z tego względu jest on w stanie przetrwać formatowanie dysku i instalację systemu operacyjnego.

Nowość, o której donosi Securelist wykryła na początku br. firma Kaspersky, a badacze bezpieczeństwa ochrzcili nowość mianem MoonBounce. Jest to znaczący progres wobec dotychczasowych zagrożeń sprzętowych typu Unified Extensible Firmware Interface (UEFI) obserwowanych przez firmę od 2019 roku, które ukrywały się na partycji systemowej EFI urządzenia pamięci masowej komputera. Tymczasem nowość wstrzykuje złośliwy kod do pamięci flash interfejsu SPI płyty głównej.

Ukraina. Masowy cyberatak na strony rządowe. Hakerzy zostawili komunikat po polsku
Ukraina. Masowy cyberatak na strony rządowe. Hakerzy zostawili komunikat po polsku

Co ciekawe jak przyznaje Kaspersky MoonBounce nie jest pierwszym złośliwym oprogramowaniem UEFI atakującym SPI, bo przed nim pojawiły się LoJax i MosaicRegressor, ale znaczącym progresem wobec tych dwóch jest to, że zainfekował komputer zdalnie.

Schemat działania MoonBounce
Schemat działania MoonBounce © Kaspersky

Następnie wieloetapowy łańcuch haków umożliwia wstrzykiwanie złośliwego kodu do innych komponentów rozruchowych podczas uruchamiania systemu w tym do przestrzeni adresowej pamięci jądra Windowsa. Oprogramowanie działające w trybie użytkownika (wstrzyknięte w proces svchost.exe) próbuje wykonać następny etap ataku, aczkolwiek badacze nie byli w stanie go pozyskać. Wyglądało to, jakby oprogramowanie było jeszcze w fazie testowania.

Badacze Kasperskiego wydają się być pewni, że oprogramowanie MoonBounce jest dziełem chińskiej grupy APT41, która ma bogatą historię ataków na obiekty przemysłowe.

Wielkie Badanie Społeczności IT 2022. Poznaj realny przekrój branży
Wielkie Badanie Społeczności IT 2022. Poznaj realny przekrój branży
Wybrane dla Ciebie
Wyjątkowe białko. Wydłużyło życie zwierzętom
Wyjątkowe białko. Wydłużyło życie zwierzętom
K9 i K10 w pełnej okazałości. Nowy sprzęt w Egipcie
K9 i K10 w pełnej okazałości. Nowy sprzęt w Egipcie
Niemcy korzystają z opcji. Zamówiły więcej następców Tigerów
Niemcy korzystają z opcji. Zamówiły więcej następców Tigerów
Zwiększają swoje ambicje. Chcą lepszej artylerii
Zwiększają swoje ambicje. Chcą lepszej artylerii
Nowe czołgi z gliwickiego Bumaru. Kluczowa umowa podpisana
Nowe czołgi z gliwickiego Bumaru. Kluczowa umowa podpisana
Czekaliśmy 47 lat. Teraz wszystko może pójść na marne [OPINIA]
Czekaliśmy 47 lat. Teraz wszystko może pójść na marne [OPINIA]
Podali szczegóły. Taką głowicę ma nowa broń USA
Podali szczegóły. Taką głowicę ma nowa broń USA
Rosji brakuje wozów bojowych. Wysyłają zmodyfikowane PTS-y
Rosji brakuje wozów bojowych. Wysyłają zmodyfikowane PTS-y
Groźny cykl. Te problemy się ze sobą łączą
Groźny cykl. Te problemy się ze sobą łączą
Ukraińcy o rosyjskich dronach. Mówią, jak je ulepszają
Ukraińcy o rosyjskich dronach. Mówią, jak je ulepszają
Rzadki cel trafiony. Dron zniszczył cenną broń Rosjan
Rzadki cel trafiony. Dron zniszczył cenną broń Rosjan
Rekord w grudniu. Zanotowano wyjątkowo wysokie wartości
Rekord w grudniu. Zanotowano wyjątkowo wysokie wartości
MOŻE JESZCZE JEDEN ARTYKUŁ? ZOBACZ CO POLECAMY 🌟