Milano, 20 gennaio 2022 – I ricercatori di Kaspersky hanno scoperto il terzo caso di un firmware bootkit in the wild. Soprannominato MoonBounce, questo impianto malevolo si nasconde nel firmware UEFI (Unified Extensible Firmware Interface), una parte essenziale dei computer, all’interno della memoria flash SPI, un componente di archiviazione esterno al disco rigido. Tali impianti sono notoriamente difficili da rilevare e rimuovere. Apparso per la prima volta nella primavera del 2021 in the wild, MoonBounce dimostra un flusso di attacco sofisticato, con evidenti progressi rispetto ai bootkit UEFI precedentemente segnalati. I ricercatori Kaspersky hanno attribuito la campagna al noto threat actor di minacce avanzate e persistenti APT41.

Il firmware UEFI è un componente critico nella stragrande maggioranza delle macchine; il suo codice, infatti, è responsabile dell’avvio del dispositivo e del passaggio del controllo al software che carica il sistema operativo. Questo codice si trova nella cosiddetta flash SPI, una memoria non volatile esterna al disco rigido. Nel caso in cui questo firmware contenesse codice dannoso, questo verrebbe lanciato prima del sistema operativo, rendendo il malware impiantato dal bootkit firmware particolarmente difficile da eliminare. Non può, infatti, essere rimosso semplicemente riformattando il disco rigido o reinstallando il sistema operativo. Inoltre, poiché il codice si trova al di fuori del disco rigido, l’attività di questi bootkit non viene rilevata dalla maggior parte delle soluzioni di sicurezza, a meno che non abbiano una funzione che analizza specificamente questa parte del dispositivo.

L’impianto si trova nel componente CORE_DXE del firmware, che viene chiamato all’inizio della sequenza di avvio UEFI. In seguito, attraverso una serie di hook che intercettano alcune funzioni, i componenti dell’impianto si fanno strada nel sistema operativo, dove raggiungono un server di comando e controllo al fine di recuperare ulteriori payload dannosi, che non siamostati in grado di recuperare.È importante sottolineare che la catena di infezione non lascia alcuna traccia sul disco rigido, in quanto i suoi componenti operano solo nella memoria, facilitando così un attacco senza file con una piccola impronta.

L’esatto vettore di infezione è ancora sconosciuto, tuttavia si presume che l’infezione avvenga tramite l’accesso remoto alla macchina. Inoltre, mentre LoJax e MosaicRegressorutilizzanol’aggiunta di driver DXE, MoonBounce modifica un componente del firmware esistente per effettuare un attacco che sia più sottile e furtivo.

Durante l’intera campagna contro la rete in questione gli attaccanti hanno svolto numerose azioni tra cui l’archiviazione di file e la raccolta di informazioni di rete. I comandi utilizzati dagli attaccanti durante la loro attività suggeriscono il loro interesse al movimento laterale e all’esfiltrazione dei dati e, considerato l’utilizzo di un impianto UEFI, è probabile che fossero interessati a condurre un’attività di spionaggio continua.

Finora, il bootkit del firmware è stato trovato solo in un singolo caso; tuttavia, altri campioni malevoli affiliati (ad esempio ScrambleCross e i suoi loader) sono stati trovati sulle reti di diverse altre vittime.

“Nonostante non si possano collegare in modo definitivo gli impianti di malware aggiuntivi trovati durante la nostra indagine relativa a MoonBounce, sembra che alcuni threat actor di lingua cinese stiano condividendo tra loro strumenti per sostenere le loro varie campagne; in particolare sembra esserci una connessione tra MoonBounce e Microcin”, ha commentato Denis Legezo, senior security researcher with GReAT.

“Inoltre, quest’ultimo bootkit UEFI mostra gli stessi notevoli progressi rispetto a MosaicRegressor che abbiamo segnalato nel 2020. Infatti, la trasformazione di un componente centrale del firmware precedentemente benigno in uno che possa facilitare la distribuzione del malware sul sistema è un’innovazione mai vista nei precedenti bootkit firmware comparabili in the wild e rende la minaccia molto più furtiva. Avevamo previsto nel 2018 che le minacce UEFI avrebbero guadagnato popolarità, e questa tendenza sembra materializzarsi. Non ci sorprenderebbe trovare ulteriori bootkit nel 2022. Fortunatamente, i vendor hanno iniziato a prestare maggiore attenzione agli attacchi al firmware e vengono adottate sempre più tecnologie di sicurezza del firmware, come BootGuard e Trusted Platform Modules”, ha commentato Mark Lechtik, senior security researcher del Global Research and Analysis Team (GReAT) di Kaspersky.

Per proteggersi dal bootkit UEFI MoonBounce, Kaspersky consiglia di:

• Aggiornare regolarmente il firmware UEFI e utilizzare solo firmware di fornitori affidabili.

• Abilitare Secure Boot come impostazione predefinita, in particolare BootGuard e TPM dove possibile.

Informazioni su Kaspersky

Seguici su:

Contatto di redazione:

NoesisCOPYRIGHT LASICILIA.IT © RIPRODUZIONE RISERVATA