I ricercatori di Kaspersky hanno scoperto il terzo caso di un bootkit firmware. Soprannominato MoonBounce, questo componente dannoso è nascosto all’interno del firmware UEFI (Unified Extensible Firmware Interface) di un computer e, una volta installato, consente ad attori malevoli di inserirsi nella sequenza di avvio del computer e di infettare la macchina.
Apparso per la prima volta in natura nella primavera del 2021 e scoperto dai ricercatori Kaspersky, MoonBounce dimostra un sofisticato flusso di attacco, con evidenti progressi rispetto ai bootkit del firmware UEFI precedentemente segnalati. I ricercatori di Kaspersky hanno attribuito l’attacco con notevole sicurezza al noto attore APT41 (Advanced Persistent Threat), ampiamente segnalato come un attore di minacce di lingua cinese che ha condotto campagne di spionaggio informatico e criminalità informatica in tutto il mondo almeno dal 2012.
Il firmware UEFI, componente critico nella stragrande maggioranza delle macchine, il cui codice è responsabile dell’avvio del dispositivo e del passaggio del controllo al software che carica il sistema operativo, si trova nella flash SPI, una memoria non volatile esterna al disco rigido. Nel caso in cui questo firmware contiene codice dannoso, questo codice verrà lanciato prima del sistema operativo, rendendo particolarmente difficile l’eliminazione del malware impiantato da un bootkit del firmware.
Il malware non può essere rimosso semplicemente riformattando un disco rigido o reinstallando un sistema operativo. Inoltre, dal momento che il codice si trova al di fuori del disco rigido, l’attività di questi bootkit non viene rilevata dalla maggior parte delle soluzioni di sicurezza a meno che non dispongano di una funzione che scansiona specificamente questa parte del dispositivo.
Le differenze di MoonBounce rispetto ai due bootkit scoperti precedentemente, LoJax e MosaicRegressor , sono i progressi significativi con un flusso di attacco più complicato e una maggiore raffinatezza tecnica.
L’impianto si trova nel componente CORE_DXE del firmware, che viene richiamato all’inizio della sequenza di avvio UEFI. Attraverso una serie di hook che intercettano determinate funzioni, i componenti dell’impianto si fanno strada nel sistema operativo, dove raggiungono un server di comando e controllo per recuperare ulteriori payload dannosi. La stessa catena di infezione non lascia tracce sul disco rigido, poiché i suoi componenti operano solo in memoria, facilitando così un attacco fileless con un ingombro ridotto.
Durante l’analisi di MoonBounce, i ricercatori di Kaspersky hanno scoperto diversi caricatori dannosi e malware post-sfruttamento su diversi nodi della stessa rete, inclusi: ScrambleCross o Sidewalk, un impianto in memoria in grado di comunicare con un server C2 per scambiare informazioni ed eseguire plug-in aggiuntivi, Mimikat_ssp, uno strumento post-sfruttamento pubblicamente disponibile utilizzato per scaricare credenziali e segreti di sicurezza, una backdoor precedentemente sconosciuta basata su Golang, e Microcin , malware generalmente utilizzato dall’attore delle minacce SixLittleMonkeys.
Il vettore di infezione rimane sconosciuto, tuttavia gli esperti presumono che l’infezione avvenga tramite l’accesso remoto alla macchina di destinazione. Inoltre, mentre LoJax e MosaicRegressor utilizzavano aggiunte di driver DXE, MoonBounce modifica un componente firmware esistente per un attacco più sottile e più furtivo.
Nella campagna complessiva contro la rete in questione analizzata, gli aggressori hanno svolto un’ampia gamma di azioni, come l’archiviazione di file e la raccolta di informazioni sulla rete e, dai comandi utilizzati, sembrerebbe che gli attaccanti fossero interessati al movimento laterale e all’esfiltrazione dei dati e, probabilmente, a condurre attività di spionaggio in corso.
Finora, il bootkit del firmware è stato trovato solo in un singolo caso. Tuttavia, altri campioni dannosi affiliati (ad esempio ScrambleCross e i suoi caricatori) sono stati scoperti sulle reti di molte altre vittime.