Аналитики безопасности обнаружили и связали MoonBounce, «самый продвинутый» имплант прошивки UEFI, обнаруженный до сих пор, с китайскоязычной хакерской группой APT41 (также известной как Winnti).
APT41 — печально известная хакерская группа, действующая не менее десяти лет и прежде всего известная своими тайными операциями кибершпионажа против известных организаций из различных секторов экономики.
Открытие MoonBounce — дело рук исследователей «Лаборатории Касперского», которые опубликовали подробный технический отчет о своих выводах.
Сложный имплантат UEFI
UEFI (Unified Extensible Firmware Interface) — это техническая спецификация, которая помогает связать операционную систему (ОС) и микропрограммное обеспечение в компьютерных системах.
Возможность внедрить в прошивку вредоносный код под названием «буткит UEFI» — отличный способ скрыться от антивирусов и любых инструментов безопасности, работающих на уровне ОС.
Это было сделано несколько раз ранее, и два недавних примера — вредоносное ПО FinFisher и бэкдор ESPecter .
Как правило, эти инструменты перехватывают последовательность загрузки и инициализируются перед компонентами безопасности ОС. Они очень стойкие, потому что размещаются в областях, которые нельзя стереть, например, в зарезервированном месте на диске.
В случае MoonBounce место имплантации находится во флэш-памяти SPI материнской платы, поэтому даже замена жесткого диска не может его выкорчевать.
Компонент встроенного ПО — это CORE_DXE, который вызывается на ранней стадии последовательности загрузки UEFI.
Последнее обновление 05.01.2023
