Οι ερευνητές της Kaspersky ανακάλυψαν την τρίτη περίπτωση ενός firmware bootkit in the wild. Με το όνομα MoonBounce, το εν λόγω κακόβουλο εμφύτευμα είναι κρυμμένο στο Unified Extensible Firmware Interface (UEFI) ενός υπολογιστή, δηλαδή σε ένα καίριας σημασίας τμήμα των υπολογιστών, στο SPI flash, που αποτελεί ένα εργαλείο αποθήκευσης εκτός του σκληρού δίσκου. Τέτοια εμφυτεύματα είναι ιδιαίτερα δύσκολο να αφαιρεθούν και είναι περιορισμένης ορατότητας στα προγράμματα ασφαλείας. Έχοντας κυκλοφορήσει για πρώτη φορά την άνοιξη του 2021, το MoonBounce επιδεικνύει μια εξελιγμένη ροή επίθεσης, με εμφανή πρόοδο σε σύγκριση με UEFI firmware bootkits που είχαν εντοπιστεί στο παρελθόν. Οι ερευνητές της Kaspersky έχουν αποδώσει την επίθεση με έναν μεγάλο βαθμό βεβαιότητας στον γνωστό παράγοντα επιθέσεων τύπου APT, τον APT41.
Το UEFI firmware είναι ένα απαραίτητο εξάρτημα στη συντριπτική πλειονότητα των μηχανημάτων. Ο κώδικάς του είναι υπεύθυνος για την εκκίνηση της συσκευής και τη μετατόπιση του ελέγχου στο λογισμικό που φορτώνει το λειτουργικό σύστημα. Αυτός ο κώδικας βρίσκεται στο σημείο που ονομάζεται SPI flash, τη σταθερή μονάδα αποθήκευσης εκτός του σκληρού δίσκου. Εάν το συγκεκριμένο firmware έχει προσβληθεί από κακόβουλο κώδικα, τότε αυτός ο κώδικας θα εκκινηθεί πριν από το λειτουργικό σύστημα, καθιστώντας το κακόβουλο λογισμικό που εμφυτεύεται από ένα firmware bootkit ιδιαίτερα δύσκολο να αφαιρεθεί. Δεν μπορεί να αφαιρεθεί απλώς μέσω της επαναδιαμόρφωσης ενός σκληρού δίσκου ή της επανεγκατάστασης ενός λειτουργικού συστήματος. Επιπλέον, καθώς ο κώδικας βρίσκεται εκτός του σκληρού δίσκου, η δραστηριότητα τέτοιων bootkit ουσιαστικά δεν ανιχνεύεται από τα περισσότερα προγράμματα ασφαλείας, εκτός εάν διαθέτουν δυνατότητα σάρωσης του συγκεκριμένου τμήματος της συσκευής.
Το ΜoonBounce είναι μόλις το τρίτο αναφερόμενο UEFI bootkit που ανιχνεύθηκε in the wild. Εμφανίστηκε την άνοιξη του 2021 και ανακαλύφθηκε για πρώτη φορά από ερευνητές της Kaspersky, κατά την εξέταση της δραστηριότητας του Firmware Scanner τους, το οποίο περιλαμβάνεται στα προϊόντα της Kaspersky από τις αρχές του 2019 και εξειδικεύεται στην ανίχνευση απειλών που κρύβονται στο BIOS της ROM, συμπεριλαμβανομένων εικόνων του UEFI firmware. Σε σύγκριση με τα δύο bootkits που ανακαλύφθηκαν παλαιότερα, το LoJax και το MosaicRegressor, το MoonBounce επιδεικνύει σημαντική πρόοδο παρουσιάζοντας μια πιο σύνθετη ροή επίθεσης σε συνδυασμό με μεγαλύτερη τεχνική πολυπλοκότητα.
Το εμφύτευμα στηρίζεται στο στοιχείο CORE_DXE του προγράμματος λογισμικού, το οποίο καλείται στα αρχικά στάδια της ακολουθίας εκκίνησης του UEFI. Στη συνέχεια, μέσω μιας σειρά εμποδίων που παρακωλύουν ορισμένες λειτουργίες, τα στοιχεία του εμφυτεύματος εισβάλλουν στο λειτουργικό σύστημα, όπου προσεγγίζουν έναν διακομιστή εντολών και ελέγχου για να ανακτήσουν περαιτέρω κακόβουλα ωφέλιμα φορτία, τα οποία δεν είχαμε τη δυνατότητα να ανακτήσουμε. Αξίζει να σημειωθεί ότι η ίδια η αλυσίδα μόλυνσης δεν αφήνει ίχνη στον σκληρό δίσκο, καθώς τα δομικά στοιχεία της λειτουργούν μόνο στη μνήμη, διευκολύνοντας έτσι μια επίθεση χωρίς αρχείο με ελάχιστο αποτύπωμα.
Κατά την ανάλυση του MoonBounce, οι ερευνητές της Kaspersky ανακάλυψαν πολλά κακόβουλα loaders και κακόβουλο λογισμικό post-exploitation σε ένα πλήθος κόμβων του ίδιου δικτύου. Αυτό περιλαμβάνει το ScrambleCross ή το Sidewalk, ένα εμφύτευμα στη μνήμη που μπορεί να επικοινωνήσει με έναν διακομιστή C2 προκειμένου να ανταλλάξει πληροφορίες και να εκτελέσει επιπρόσθετα plugins, το Mimikat_ssp, ένα post-exploitation εργαλείο διαθέσιμο στην αγορά που χρησιμοποιείται για την απόρριψη διαπιστευτηρίων και μυστικών ασφαλείας, ένα προηγουμένως άγνωστο backdoor με βάση το Golang, και το Microcin, ένα κακόβουλο λογισμικό που χρησιμοποιείται συνήθως από τον απειλητικό παράγοντα SixLittleMonkeys.
Ο ακριβής φορέας μόλυνσης παραμένει άγνωστος, ωστόσο, θεωρείται ότι η μόλυνση πραγματοποιείται μέσω απομακρυσμένης πρόσβασης στο στοχευόμενο μηχάνημα. Επιπλέον, ενώ το LoJax και το MosaicRegressor χρησιμοποίησαν προσθήκες προγραμμάτων DXE drivers, το MoonBounce τροποποιεί ένα υπάρχον τμήμα firmware για μια πιο διακριτική και κρυφή επίθεση.
Στη συνολική εκστρατεία κατά του εν λόγω δικτύου, ήταν προφανές ότι οι εισβολείς προέβησαν σε ένα ευρύ φάσμα ενεργειών, όπως την αρχειοθέτηση δεδομένων και τη συλλογή πληροφοριών δικτύου. Οι εντολές που επιστρατεύθηκαν από τους επιτιθέμενους καθ’ όλη τη δραστηριότητά τους υποδηλώνουν ότι τους ενδιέφερε η πλευρική κίνηση και η εκδιήθηση δεδομένων, ενώ με βάση το γεγονός ότι χρησιμοποιήθηκε εμφύτευμα UEFI, είναι πιθανό οι επιτιθέμενοι να στόχευαν στη διεξαγωγή συνεχιζόμενης κατασκοπευτικής δραστηριότητας.
Οι ερευνητές της Kaspersky συνέδεσαν το MoonBounce με βεβαιότητα με το APT41, το οποίο είναι ευρέως γνωστό ως ένας κινεζόφωνος παράγοντας απειλής στον κυβερνοχώρο που διεξάγει εκστρατείες κυβερνοκατασκοπείας και ηλεκτρονικού εγκλήματος παγκοσμίως ήδη από το 2012. Επιπλέον, η ύπαρξη ορισμένων από τα προαναφερθέντα κακόβουλα προγράμματα στο ίδιο δίκτυο αναδεικνύει την πιθανότητα μιας πιθανής σύνδεσης μεταξύ του APT41 και άλλων κινεζόφωνων φορέων απειλών.
Μέχρι στιγμής, το firmware bootkit έχει ανιχνευθεί μόνο σε μία περίπτωση. Ωστόσο, άλλα συνδεδεμένα κακόβουλα δείγματα (π.χ. το ScrambleCross και τα loaders του) έχουν βρεθεί στα δίκτυα πολλών άλλων θυμάτων.
«Αν και δεν μπορούμε με βεβαιότητα να συνδέσουμε τα πρόσθετα εμφυτεύματα κακόβουλου λογισμικού που ανιχνεύθηκαν κατά τη διάρκεια της έρευνάς μας αποκλειστικά με το MoonBounce, είναι σαφές ότι κάποιοι κινεζόφωνοι παράγοντες απειλών ανταλλάσσουν εργαλεία μεταξύ τους προκειμένου να ενισχύσουν τις εκστρατείες τους. Συγκεκριμένα, φαίνεται να υπάρχει μια σύνδεση χαμηλής εμπιστοσύνης μεταξύ του MoonBounce και του Microcin», προσθέτει ο Denis Legezo, ανώτερος ερευνητής ασφάλειας της GReAT.
«Ίσως το σημαντικότερο να είναι το γεγονός ότι το τελευταίο UEFI bootkit UEFI παρουσιάζει τις ίδιες αξιοσημείωτες εξελίξεις σε σύγκριση με το MosaicRegressor, το οποίο αναφέραμε το 2020. Στην πραγματικότητα, η μετατροπή ενός προηγουμένως καλοήθους εργαλείου firmware σε ένα εργαλείο που ενδέχεται να διευκολύνει την ανάπτυξη κακόβουλου λογισμικού στο σύστημα, είναι μια καινοτομία, κάτι που δεν παρατηρήθηκε σε προηγούμενα συγκρίσιμα firmware bootkits που κυκλοφορούν, και που κάνει την απειλή πολύ δυσκολότερα ανιχνεύσιμη. Είχαμε προβλέψει το 2018 ότι οι απειλές του UEFI θα αποκτούσαν δημοτικότητα, κάτι που όντως φαίνεται να συμβαίνει. Δεν θα εκπλαγούμε αν εντοπίσουμε πρόσθετα bootkits το 2022. Ευτυχώς, οι προμηθευτές έχουν αρχίσει να δίνουν μεγαλύτερη προσοχή στις επιθέσεις firmware και σταδιακά υιοθετούνται περισσότερες τεχνολογίες ασφάλειας firmware, όπως το BootGuard και το Trusted Platform Modules», σχολιάζει ο Mark Lechtik, ανώτερος ερευνητής ασφαλείας, Παγκόσμια Ομάδα Έρευνας και Ανάλυσης στην Kaspersky.
Για μια πιο λεπτομερή ανάλυση του MoonBounce, διαβάστε την πλήρη αναφορά στο Securelist.
Για να παραμείνετε προστατευμένοι από τα UEFI bootkits, όπως το MoonBounce, η Kaspersky συνιστά:
- Παρέχετε στo Κέντρο Επιχειρήσεων Ασφαλείας (SOC) πρόσβαση στην πιο πρόσφατη πληροφόρηση (threat intelligence/TI) στον τομέα των απειλών. Το Kaspersky Threat Intelligence Portal αποτελεί ένα ενιαίο σημείο πρόσβασης για το TI της εταιρείας, παρέχοντας δεδομένα κυβερνοεπιθέσεων και πληροφορίες που συγκεντρώθηκαν από την Kaspersky σε διάστημα μεγαλύτερο των 20 ετών.
- Για την ανίχνευση επιπέδου τερματικού σημείου, τη διερεύνηση και την έγκαιρη αποκατάσταση ενδεχόμενων περιστατικών, εφαρμόστε λύσεις EDR, όπως το Kaspersky Endpoint Detection and Response..
- Χρησιμοποιήστε ένα ισχυρό πρόγραμμα ασφάλειας τερματικού σημείου που μπορεί να ανιχνεύσει τη χρήση firmware, όπως το Kaspersky Endpoint Security for Business..
- Ενημερώνετε τακτικά το UEFI firmware και χρησιμοποιείτε μόνο firmware από αξιόπιστους προμηθευτές.
- Ενεργοποιήστε την Ασφαλή Εκκίνηση ως προεπιλογή, ιδίως το BootGuard και τα TPM όπου αυτό είναι εφικτό