Új, minden eddiginél veszélyesebb vírus jelent meg!
- IT-biztonság
- 2022. január 25.
- Bárdos Attila
Az új kártevőt gyakorlatilag lehetetlen eltávolítani a számítógépekről - legalábbis az eddig bevált módszerekkel.
A MoonBounce névre keresztelt bootkit az UEFI adta lehetőségek kihasználásával próbálja megkerülni a víruskereső alkalmazásokat. Az UEFI a mai számítógépek legfontosabb összetevője, ez felel az eszköz elindításáért és a működéséért.
A kártevő gyakorlatilag beégeti magát az alaplap UEFI kódjába, így a megfertőződött számítógépben hiába cserélünk merevlemezt vagy SSD meghajtót, a vírus ugyanúgy a gépen marad. Az UEFI kompromittálásával a kártékony kód még azelőtt betöltődik, mielőtt az operációs rendszer és vele együtt a biztonsági alkalmazások (például a víruskereső) elindulna, ezáltal a rendszer szabadon megfertőzhető. A vírus eltávolítása csak és kizárólag az UEFI teljes törlésével és újraírásával lehetséges, amit viszont hagyományos eszközökkel lehetetlen elvégezni, így nincs más megoldás, csak az alaplap cseréje.
A Kaspersky biztonsági kutatói által elemzett MoonBounce nevű UEFI bootkit először 2021 tavaszán jelent meg, és a korábbi bootkitekhez képest jelentős fejlődést mutatott: bonyolultabb volt a támadási mechanizmusa és technikailag is kifinomultabbá vált. Úgy tűnik, hogy a csalók nem hagytak fel a szerzemény alkalmazásával, hiszen az a napokban ismét felbukkant.
Az újonnan felbukkant kártevő a rendszer elindulását követően a háttérben gyakorlatilag bármilyen tartalom letöltésére képes az internetről, ezáltal alkalmas akár spam küldésére, vagy DDoS támadásban éppen úgy használni tudják gazdái, mint kémkedésre vagy zsarolóvírussal az áldozatul esett gépeken tárolt adatok túszul ejtésére.
Erre enged következtetni az is, hogy a MoonBounce vizsgálata során a szakemberek a kártékony kóddal fertőzött rendszereken egyéb nemkívánatos programokat is felfedeztek. Így például a ScrambleCross (vagy Sidewalk) károkozó is megjelent, amely vezérlőszerverekkel képes kommunikálni, valamint különféle - egyebek mellett adatlopásra alkalmas - modulok futtatására is alkalmas.
A kártevőben felfedezett nyomok egyébként arra utalnak, hogy az valószínűleg kínai eredetű, de a Kaspersky azt egyelőre nem árulta el, hogy a MoonBounce milyen módon terjed, illetve hogy jellemzően milyen környezeteket fertőz meg.
"Bár a MoonBounce kapcsán folytatott vizsgálatunk során talált további beépülő malware-eket nem tudjuk egyértelműen a MoonBounce-hoz kötni, úgy tűnik, mintha néhány kínai nyelvű hekkercsoport megosztaná egymással az eszközöket, hogy segítséget nyújtsanak egymásnak a különféle kampányokban" - fejtette ki Miroslav Koren, a Kaspersky Kelet-Európáért felelős igazgatója.
Mark Lechtik vezető biztonsági kutató pedig elmondta, hogy nem lenne meglepve, ha idén további bootkiteket találnának. A gyártók szerencsére elkezdtek jobban odafigyelni a firmware-eket érő támadásokra, és egyre több biztonsági technológiát alkalmaznak, mint például a BootGuardot. Azt, hogy mindez mire lesz elég, egyelőre nem tudni. Mindenesetre jvasolt a gépek UEFI firmware-jét rendszeresen frissíteni, TPM-el ellátott gépeket használni és a Secure Boot-ot engedélyezni, mert ezek viszonylag komolyan meg tudják nehezíteni - ha nem lehetetlenné tenni - a hasonló kártevők bejutását és működését a gépeken.
A Kaspersky eredeti bejelentése az alábbi linkre kattintva érhető el:
https://securelist.com/moonbounce-the-dark-side-of-uefi-firmware/105468/