Moonbounce — это не обычный троян или вирус под Windows, а сложный буткит, нацеленный на прошивку материнской платы UEFI (United Extensible Firmware Interface). Это позволяет зловреду переживать изменения на жестком диске и в операционной системе. Материнские платы имеет собственную микросхему памяти, называемую флэш-памятью. Эта флэш-память SPI содержит программное обеспечение, необходимое для запуска и связи с остальным оборудованием.
В отчете «Лаборатории Касперского» сообщается, что буткит Moonbounce был создан хакерской группой APT41, которая по данным CSOOnline связана с китайским правительством. Печально известная группировка уже десять лет участвует во вредоносных кампаниях по всему миру. Российский антивирусный вендор отмечает, что буткит UEFI был впервые обнаружен весной 2021 года и что он более совершенен, чем два предыдущих вредоносных ПО такого рода, LoJax и MosaicRegressor. Примечательно, что Moonbounce был обнаружен лишь единожды.
Примечание: многие пользователи и даже OEM-производители, называя UEFI, используют другую аббревиатуру BIOS, хотя они технически и функционально отличаются, последний термин является более популярным, поскольку он существует дольше. Оба термина относятся к интерфейсу, используемому для доступа и изменения настроек прошивки материнской платы.
Как Moonbounce получает доступ к UEFI?
Moonbounce нацелен на среду CORE_DXE в прошивке и выполняется при запуске последовательности загрузки UEFI. Затем вредоносное ПО перехватывает определенные функции, чтобы внедрить себя в операционную систему и связывается с командным сервером. Это приводит к удаленной доставке вредоносной полезной нагрузки для нейтрализации систем безопасности.
Поток выполнения MoonBounce с момента загрузки системы до развертывания зловреда в пользовательском пространстве
Атака происходит, когда вредоносная программа модифицирует компонент прошивки. Хакеры могут использовать зловред для слежки за пользователями, архивирования файлов, сбора сетевой информации и для других целей. Интересно, что в отчете «Лаборатории Касперского» упоминается, что заражение на жестком диске отследить не удалось, то есть заражение происходило полностью в памяти, без использования файлов.
Руткиты UEFI обычно сложно удалить, поскольку антивирусные программы неэффективны вне операционной системы, но очистить такие заражения с материнской платы возможно.
Как предотвратить заражение UEFI руткитом?
Существует несколько простых способов предотвратить заражение UEFI руткитами, например Moonbounce. Первый шаг — включить безопасную загрузку (Secure Boot). Возможно, именно для борьбы с такими угрозами Microsoft сделала TPM 2.0 обязательным требованием для Windows 11.
Ниже доступно видео, в котором эксперт по безопасности Microsoft рассказывает о важности UEFI, безопасной загрузки, TPM и других технологий защиты от вредоносного ПО. Добавление пароля для доступа к UEFI заблокирует несанкционированные обновления прошивки, тем самым обеспечив вам дополнительный уровень защиты. Даже если вы не включили безопасную загрузку или пароль, то сможете устранить заражение за счет перепрошивки UEFI.
Для этого зайдите на сайт производителя вашей материнской платы (или ноутбука) и выберите вашу модель и проверьте наличие обновлений для UEFI. Дважды проверьте информацию, чтобы убедиться, что модель материнской платы соответствует той, что указана на веб-сайте, потому что установка неправильной прошивки может привести к критическому повреждению устройства. Вам также следует избегать использования сторонних программ обновления драйверов, а вместо этого полагаться на обновления Windows и официальное ПО от производителя.
Угрозы безопасности
• qBittorrent исправляет уязвимость, из-за которой пользователи подвергались MitM-атакам в течение 14 лет
• «Лаборатория Касперского» предупреждает о вирусах в финансовых Telegram-каналах
• Повторный взлом «Архива Интернета»: злоумышленники используют украденные токены доступа
• Партнёр ESET взломан: фишинговая атака с использованием уничтожителей данных
• Архив Интернета взломан: украдены данные 31 миллиона пользователей
• Целевая атака на «Доктор Веб»: что нужно знать пользователям