Ερευνητές ασφαλείας από την Kaspersky ανακοίνωσαν την Πέμπτη ότι ανακάλυψαν ένα νέο bootkit που μπορεί να μολύνει το UEFI ενός υπολογιστή.
Αυτό που κάνει το MoonBounce (το όνομα που έδωσαν στο bootkit) ξεχωριστό είναι το γεγονός ότι το κακόβουλο λογισμικό δεν κρύβεται μέσα στο τμήμα του σκληρού δίσκου που ονομάζεται ESP (EFI System Partition), εκεί που βρίσκεται συνήθως και ο κώδικας UEFI. Αντίθετα μολύνει το SPI που βρίσκεται στη μητρική πλακέτα (motherboard).
Αυτό σημαίνει ότι, σε αντίθεση με παρόμοια bootkits, οι χρήστες δεν μπορούν να εγκαταστήσουν ξανά το λειτουργικό σύστημα ή να αντικαταστήσουν τον σκληρό δίσκο, καθώς το bootkit θα συνεχίσει να παραμένει στη μολυσμένη συσκευή μέχρι να κάνει restart η μνήμη SPI (μια πολύ περίπλοκη διαδικασία) ή να αλλάξει η μητρική πλακέτα.
Σύμφωνα με την Kaspersky, το MoonBounce είναι το τρίτο bootkit UEFI που έχουν δει μέχρι στιγμής που μπορεί να υπάρχει μέσα στη μνήμη SPI. Τα προηγούμενα malware ήταν τα LoJax και MosaicRegressor.
Επιπλέον, η ανακάλυψη του MoonBounce έρχεται μετά την ανακάλυψη πρόσθετων bootkit UEFI τους τελευταίους μήνες, όπως το ESPectre, το bootkit UEFI του FinSpy και άλλα, τα οποία οδήγησαν την ομάδα της Kaspersky στο συμπέρασμα ότι αυτό που κάποτε θεωρούνταν ανέφικτο έχει γίνει σταδιακά ο κανόνας.
Η ομάδα ασφαλείας της Kaspersky προτείνει:
“Ως μέτρο ασφαλείας έναντι αυτής της επίθεσης και παρόμοιων επιθέσεων, συνιστάται η τακτική ενημέρωση του UEFI firmware και η επαλήθευση ότι το BootGuard, όπου υπάρχει, είναι ενεργοποιημένο. Ομοίως, ενδείκνυται η ενεργοποίηση των λειτουργικών μονάδων Trust Platform, σε περίπτωση που υποστηρίζεται από το μηχάνημα”.
