Sigurnosni istraživači kompanije Kaspersky su otkrili novi firmware bootkit u kibernetičkom prostoru korištenjem Kaspersky Firmware Scanner alata. Ovaj zlonamjerni kôd je prvi put uočen na proljeće 2021. godine kada je dobio naziv MoonBounce i kada je utvrđeno da ga najvjerovatnije koristi grupa iz kategorije trajnih naprednih prijetnji (Advanced persistent threat – APT) sa kineskog govornog područja označen kao APT41.
 |
| MoonBounce firmware bootkit; Design by Saša Đurić |
MoonBounce je dosta tehnički napredniji od svojih prethodnika LoJax i MosaicRegressor. Za sakrivanje koristi UEFI-a (Unified Extensible Firmware Interface) čiji je kôd ključna komponenta u procesu startovanju uređaja i podizanja operativnog sistema. Za skladištenje koristi nepromjenjivu memoriju SPI flash komponente koja se nalazi na matičnoj ploči. Jednom kada dođe do operativnog sistema, uspostavlja se kontrola sa komandnim serverom, nakon čega dolazi do preuzimanja novog zlonamjernog kôda.
MoonBounce je veoma teško otkriti, jer se kôd nalazi van HDD/SDD medija u području koje mnoga antivirusna rješenja ne skeniranju. Također ga je teško obrisati. Nije ga moguće ukloniti formatiranjem HDD/SDD medija ili reinstalacijom operativnog sistema, jer se kôd izvršava prije pokretanja operativnog sistema. Teško je pronaći i uočiti tragove prisustva, jer se MoonBounce izvršava u memoriji i na taj način ostavlja minimalan trag.
Dobijanje pristupa zloupotrebom UEFI-a znači da napadači žele da uspostave duže prisustvo u okruženju napadnute organizacije, što podrazumijeva da je riječ o špijunaži. Cilj napadača je da dobiju uporište u računarskoj mreže žrtve, što vodi do mogućnosti kretanja po računarskoj mreži i izvlačenju podataka. Analiza ponašanja napadača pokazuje da uspješne upade koriste za manipulaciju lanca snabdijevanja napadnute organizacije ili za krađu povjerljivog intelektualnog vlasništva i korisničkih informacija. Pored toga, analizom više javno dostupnih korisničkih naloga tokom prethodnih godina može se reći da ovo odgovara načinu rada APT41 grupe ili nekoga bliskog toj grupi pod nazivom Earth Baku i SparklingGoblin za koje se vjeruje da su alternativna imena za APT41.
