Przetrwa nawet formatowanie dysku. Nowy typ złośliwego oprogramowania

Złośliwe oprogramowanie staje się coraz "sprytniejsze", ale w skrajnym przypadku usunięcie intruza było możliwe formatowaniem dysku.

Przetrwa nawet formatowanie dysku. Nowy typ złośliwego oprogramowaniaHaker
Źródło zdjęć: © Pixabay
Przemysław Juraszek
6

Najnowszy okaz może się schować w kości pamięci, w której jest zapisany BIOS, a więc prościej znajduje bezpieczną przystań w płycie głównej. Z tego względu jest on w stanie przetrwać formatowanie dysku i instalację systemu operacyjnego.

Nowość, o której donosi Securelist wykryła na początku br. firma Kaspersky, a badacze bezpieczeństwa ochrzcili nowość mianem MoonBounce. Jest to znaczący progres wobec dotychczasowych zagrożeń sprzętowych typu Unified Extensible Firmware Interface (UEFI) obserwowanych przez firmę od 2019 roku, które ukrywały się na partycji systemowej EFI urządzenia pamięci masowej komputera. Tymczasem nowość wstrzykuje złośliwy kod do pamięci flash interfejsu SPI płyty głównej.

Co ciekawe jak przyznaje Kaspersky MoonBounce nie jest pierwszym złośliwym oprogramowaniem UEFI atakującym SPI, bo przed nim pojawiły się LoJax i MosaicRegressor, ale znaczącym progresem wobec tych dwóch jest to, że zainfekował komputer zdalnie.

Schemat działania MoonBounce
Schemat działania MoonBounce © Kaspersky

Następnie wieloetapowy łańcuch haków umożliwia wstrzykiwanie złośliwego kodu do innych komponentów rozruchowych podczas uruchamiania systemu w tym do przestrzeni adresowej pamięci jądra Windowsa. Oprogramowanie działające w trybie użytkownika (wstrzyknięte w proces svchost.exe) próbuje wykonać następny etap ataku, aczkolwiek badacze nie byli w stanie go pozyskać. Wyglądało to, jakby oprogramowanie było jeszcze w fazie testowania.

Badacze Kasperskiego wydają się być pewni, że oprogramowanie MoonBounce jest dziełem chińskiej grupy APT41, która ma bogatą historię ataków na obiekty przemysłowe.

Wybrane dla Ciebie

TUSK na polskim czołgu. Wszystko widać na zdjęciu
TUSK na polskim czołgu. Wszystko widać na zdjęciu
To już oficjalne: Elon Musk ma własne miasto. Starbase z prawami miejskimi
To już oficjalne: Elon Musk ma własne miasto. Starbase z prawami miejskimi
Rosja rozwija nowe jądrowe pociski. Pentagon ostrzega przed zagrożeniem
Rosja rozwija nowe jądrowe pociski. Pentagon ostrzega przed zagrożeniem
Długie ręce "boga wojny". Artyleria lufowa o zasięgu 150 km
Długie ręce "boga wojny". Artyleria lufowa o zasięgu 150 km
"Bardzo potrzebna umowa". Wolski o planach Polski
"Bardzo potrzebna umowa". Wolski o planach Polski
Rosjanie próbują wykraść dane o naszej armii. Na celowniku sprzęt wojskowy
Rosjanie próbują wykraść dane o naszej armii. Na celowniku sprzęt wojskowy
Zrezygnowali ze sprzętu Rosjan. Wybrali Zachód, a teraz krytykują
Zrezygnowali ze sprzętu Rosjan. Wybrali Zachód, a teraz krytykują
Japonia się chwali swoją bronią. Lasery i railguny na DSEI Japan
Japonia się chwali swoją bronią. Lasery i railguny na DSEI Japan
Był dwa razy większy. Co się stało z Jowiszem?
Był dwa razy większy. Co się stało z Jowiszem?
Nawet 500 dronów dziennie. Ukrainiec o rosyjskich atakach
Nawet 500 dronów dziennie. Ukrainiec o rosyjskich atakach
Finlandia prezentuje superpocisk. To rewolucja artyleryjska
Finlandia prezentuje superpocisk. To rewolucja artyleryjska
Problem brytyjskich lotniskowców. Bez AWACS-ów ich możliwości są ograniczone
Problem brytyjskich lotniskowców. Bez AWACS-ów ich możliwości są ograniczone