Ερευνητές ασφαλείας παρουσίασαν το MoonBounce, ένα προσαρμοσμένο firmware implant UEFI που χρησιμοποιείται σε στοχευμένες επιθέσεις.
Δείτε επίσης: CISA σε οργανισμούς των ΗΠΑ: Προετοιμαστείτε για data-wiping επιθέσεις
Το implant MoonBounce πιστεύεται ότι είναι έργο της APT41, μιας κινεζικής εξελιγμένης ομάδας hacking, γνωστής και ως Winnti ή Double Dragon.
Στις 20 Ιανουαρίου, οι ερευνητές της Kaspersky είπαν ότι στα τέλη του περασμένου έτους, η ομάδα αποκάλυψε μια περίπτωση παραβίασης του Unified Extensible Firmware Interface (UEFI) που προκλήθηκε από την τροποποίηση ενός component στο firmware – ένα βασικό element που ονομάζεται SPI flash, που βρίσκεται στο μητρική πλακέτα.
Όχι μόνο η προσαρμογή στο firmware οδήγησε σε επιμονή σε επίπεδο που είναι εξαιρετικά δύσκολο να αφαιρεθεί, αλλά η ομάδα λέει ότι η εικόνα του firmware “τροποποιήθηκε από τους εισβολείς με τρόπο που τους επέτρεψε να παρεμποδίσουν την αρχική ροή εκτέλεσης της ακολουθίας εκκίνησης του μηχανήματος και να εισάγουν μια εξελιγμένη αλυσίδα μόλυνσης».
Ο developer του MoonBounce UEFI rootkit λέγεται ότι έχει μια βαθιά και ενδελεχή κατανόηση του τρόπου λειτουργίας των συστημάτων UEFI.
Δείτε επίσης: Phishing επιθέσεις: Ποιες μεγάλες εταιρείες μιμούνται οι απατεώνες για να ξεγελάσουν τα θύματα;
Η Kaspersky λέει ότι αυτή η ενημερωμένη έκδοση κώδικα μετέτρεψε το firmware UEFI “σε ένα εξαιρετικά κρυφό και persistent storage για malware στο σύστημα” – και ένα αποθηκευτικό χώρο που έγινε πιο δύσκολο να εντοπιστεί καθώς δεν υπήρχε ανάγκη προσθήκης νέων drivers ή περαιτέρω αλλαγών.
Επιπλέον, η αλυσίδα μόλυνσης λειτουργεί μόνο σε μνήμη και έτσι δεν υπάρχουν ίχνη στον σκληρό δίσκο της fileless επίθεσης.
Η Kaspersky μέχρι στιγμής δεν μπόρεσε να λάβει δείγμα του payload, ούτε η ομάδα ανακάλυψε πώς έγινε η αρχική μόλυνση – αν και εικάζεται ότι η μόλυνση επιτεύχθηκε εξ αποστάσεως.
Ωστόσο, βρέθηκαν non-UEFI implants στο στοχευμένο δίκτυο, συμπεριλαμβανομένου του malware ScrambleCross/SideWalk, το οποίο επικοινωνούσε με την ίδια υποδομή που χρησιμοποιούσαν οι εισβολείς. Μέσω της ανάλυσης αυτής της δραστηριότητας ήταν δυνατή η πιθανή απόδοση.
Από όσο γνωρίζει η Kaspersky, η APT41 είναι η ομάδα προηγμένης επίμονης απειλής (APT) πίσω από την εισβολή. Η APT είναι μια κρατική ομάδα που πιστεύεται ότι είναι υπεύθυνη για εκτεταμένες επιθέσεις κατά του τομέα της πληροφορικής, των εταιρειών κοινωνικής δικτύωσης, των τηλεπικοινωνιών, των μη κερδοσκοπικών οργανισμών και της υγειονομικής περίθαλψης.
Δείτε επίσης: Android: Οι χρήστες μπορούν να απενεργοποιήσουν το 2G για να μπλοκάρουν επιθέσεις Stingray
Όσον αφορά την οργάνωση των θυμάτων σε αυτή την περίπτωση, η Kaspersky ανέφερε έναν στόχο που “αντιστοιχεί σε έναν οργανισμό που ελέγχει πολλές επιχειρήσεις που ασχολούνται με τεχνολογία μεταφορών”.
Τον Σεπτέμβριο του 2020, το Υπουργείο Δικαιοσύνης των ΗΠΑ (DoJ) κατέθεσε κατηγορίες εναντίον πέντε ύποπτων μελών της APT41.
Πηγή πληροφοριών: zdnet.com
