Kaspersky siber güvenlik araştırmacıları, antivirüs tarafından fark edilemeyen, daha da kötüsü sabit disk biçimlendirme (format atma) gibi en uç önlemlerle bile kaldırılamayan nadir bir kötü amaçlı yazılım türü keşfetti. Bu şekilde bile kaldırılamamasının nedeni, MoonBounce adlı kötü amaçlı yazılımın sabit sürücünün kendisinde değil, anakartta bulunan SPI kusurları belleğinde bulunması.
Bu tür kötü amaçlı yazılımlar bootkit olarak adlandırılıyor ve The Record tarafından açıklandığı üzere, yalnızca "çok karmaşık bir süreç" olarak tanımladığı SPI belleğinin yeniden yüklenmesiyle kaldırılabiliyor. Bir diğer çözüm ise anakartı tamamen değiştirmek.
MoonBounce, çok aşamalı bir saldırıda birinci aşama kötü amaçlı yazılım olarak tasarlanmış. Kötü niyetli saldırganlar, bunu ya güvenliği ihlal edilmiş cihazların kapılarını açık tutmak ya da daha sonra veri toplayıcılar, kod yürütücüler, fidye yazılımı gibi hizmet edebilecek ikinci aşama kötü amaçlı yazılımları dağıtmak için kullanıyor.
Kaspersky, şimdiye kadar, bir ulaşım hizmetleri şirketine ait bir cihazda MoonBounce'ın yalnızca bir örneğinin keşfedildiğini söylüyor. Araştırmacılar ayrıca MoonBounce'ın Çinli yetkililerle bağları olan, tanınmış, devlet destekli bir siber suç grubu olan APT41'in eseri olduğunu düşünüyorlar.
Araştırmacılar, hem MoonBounce'ın hem de cihazda bulunan ikinci aşama kötü amaçlı yazılımın, APT41'in talimatlarını verdiği aynı sunucu altyapısıyla iletişim kurduğunu belirtiyor.
Kaspersky, MoonBounce'ın güvenliği ihlal edilmiş cihaza nasıl bulaştığını hala bilmediklerini söylüyor.
Kaspersky ekibi, "bu ve benzeri saldırılara karşı bir güvenlik önlemi olarak, UEFI bellenimini düzenli olarak güncellemeniz ve uygun olduğunda BootGuard'ın etkinleştirildiğini doğrulamanız önerilir. Benzer şekilde, makinede karşılık gelen bir donanımın desteklenmesi durumunda Trust Platform Modüllerinin etkinleştirilmesi de tavsiye edilir "diyor.
MoonBounce bir UEFI bootkit'i ve Kaspersky'nin son zamanlarda LoJax ve MosaicRegressor'dan sonra bulduğu üçüncü örnek. Araştırmacılar, son aylarda ESPectre veya FinSpy'ın UEFI bootkit'i dahil olmak üzere pek çok UEFI bootkit'i buldular...