Przetrwa nawet formatowanie dysku. Nowy typ złośliwego oprogramowania

Złośliwe oprogramowanie staje się coraz "sprytniejsze", ale w skrajnym przypadku usunięcie intruza było możliwe formatowaniem dysku.

Najnowszy okaz może się schować w kości pamięci, w której jest zapisany BIOS, a więc prościej znajduje bezpieczną przystań w płycie głównej. Z tego względu jest on w stanie przetrwać formatowanie dysku i instalację systemu operacyjnego.

Nowość, o której donosi Securelist wykryła na początku br. firma Kaspersky, a badacze bezpieczeństwa ochrzcili nowość mianem MoonBounce. Jest to znaczący progres wobec dotychczasowych zagrożeń sprzętowych typu Unified Extensible Firmware Interface (UEFI) obserwowanych przez firmę od 2019 roku, które ukrywały się na partycji systemowej EFI urządzenia pamięci masowej komputera. Tymczasem nowość wstrzykuje złośliwy kod do pamięci flash interfejsu SPI płyty głównej.

Co ciekawe jak przyznaje Kaspersky MoonBounce nie jest pierwszym złośliwym oprogramowaniem UEFI atakującym SPI, bo przed nim pojawiły się LoJax i MosaicRegressor, ale znaczącym progresem wobec tych dwóch jest to, że zainfekował komputer zdalnie.

Następnie wieloetapowy łańcuch haków umożliwia wstrzykiwanie złośliwego kodu do innych komponentów rozruchowych podczas uruchamiania systemu w tym do przestrzeni adresowej pamięci jądra Windowsa. Oprogramowanie działające w trybie użytkownika (wstrzyknięte w proces svchost.exe) próbuje wykonać następny etap ataku, aczkolwiek badacze nie byli w stanie go pozyskać. Wyglądało to, jakby oprogramowanie było jeszcze w fazie testowania.

Badacze Kasperskiego wydają się być pewni, że oprogramowanie MoonBounce jest dziełem chińskiej grupy APT41, która ma bogatą historię ataków na obiekty przemysłowe.