MoonBounce: così lo spiegano i ricercatori Kaspersky

pittogramma Zerouno

News

MoonBounce: così lo spiegano i ricercatori Kaspersky

L’impianto malevolo si nasconde nel firmware UEFI, una parte essenziale dei computer, all’interno della memoria flash SPI, un componente di archiviazione esterno al disco rigido

02 Feb 2022

di Redazione

Scoperto il terzo caso di un firmware bootkit in the wild da parte dei ricercatori Kaspersky. Soprannominato MoonBounce, questo impianto malevolo si nasconde nel firmware UEFI (Unified Extensible Firmware Interface), una parte essenziale dei computer.

Più nello specifico, il firmware UEFI è un componente critico nella stragrande maggioranza delle macchine; il suo codice, infatti, è responsabile dell’avvio del dispositivo e del passaggio del controllo al software che carica il sistema operativo. Questo codice si trova nella cosiddetta flash SPI, una memoria non volatile esterna al disco rigido. Nel caso in cui questo firmware contenesse codice dannoso, questo verrebbe lanciato prima del sistema operativo, rendendo il malware impiantato dal bootkit firmware particolarmente difficile da eliminare. Non può, infatti, essere rimosso semplicemente riformattando il disco rigido o reinstallando il sistema operativo. Inoltre, poiché il codice si trova al di fuori del disco rigido, l’attività di questi bootkit non viene rilevata dalla maggior parte delle soluzioni di sicurezza, a meno che non abbiano una funzione che analizza specificamente questa parte del dispositivo.

MoonBounce è apparso nella primavera del 2021 ed è stato scoperto per la prima volta dai ricercatori di Kaspersky analizzando l’attività del Firmware Scanner dell’azienda, incluso nei prodotti Kaspersky all’inizio del 2019 per rilevare specificamente le minacce che si nascondono nella ROM del BIOS, comprese le immagini del firmware UEFI. Rispetto ai due bootkit scoperti in precedenza, LoJax e MosaicRegressor, MoonBounce dimostra un progresso significativo con un flusso di attacco più complicato e una maggiore sofisticazione tecnica.

L’impianto si trova nel componente CORE_DXE del firmware, che viene chiamato all’inizio della sequenza di avvio UEFI. In seguito, attraverso una serie di hook che intercettano alcune funzioni, i componenti dell’impianto si fanno strada nel sistema operativo, dove raggiungono un server di comando e controllo al fine di recuperare ulteriori payload dannosi, che non siamo stati in grado di recuperare. È importante sottolineare che la catena di infezione non lascia alcuna traccia sul disco rigido, in quanto i suoi componenti operano solo nella memoria, facilitando così un attacco senza file con una piccola impronta.

Durante le indagini su MoonBounce, i ricercatori di Kaspersky hanno scoperto diversi loader malevoli e malware usati in fase di post-exploitation su diversi nodi della stessa rete.

Tra questi ScrambleCross o Sidewalk, un impianto in-memory che può comunicare con un server C2 per scambiare informazioni ed eseguire plugin aggiuntivi; Mimikat_ssp, uno strumento post-exploitation pubblicamente disponibile utilizzato per fare il download di credenziali e informazioni di sicurezza, una backdoor basata su Golang precedentemente sconosciuta, e Microcin, un malware tipicamente usato dal threat actor SixLittleMonkeys.

L’esatto vettore di infezione è ancora sconosciuto, tuttavia si presume che l’infezione avvenga tramite l’accesso remoto alla macchina. Inoltre, mentre LoJax e MosaicRegressor utilizzano l’aggiunta di driver DXE, MoonBounce modifica un componente del firmware esistente per effettuare un attacco che sia più sottile e furtivo.

Durante l’intera campagna contro la rete in questione gli attaccanti hanno svolto numerose azioni tra cui l’archiviazione di file e la raccolta di informazioni di rete. I comandi utilizzati dagli attaccanti durante la loro attività suggeriscono il loro interesse al movimento laterale e all’esfiltrazione dei dati e, considerato l’utilizzo di un impianto UEFI, è probabile che fossero interessati a condurre un’attività di spionaggio continua.

Kaspersky ha attribuito MoonBounce al gruppo APT41, segnalato come threat actor di lingua cinese che ha condotto campagne di cyber-spionaggio e criminalità informatica in tutto il mondo a partite almeno dal 2012. Inoltre, l’esistenza di alcuni dei suddetti malware nella stessa rete suggerisce una possibile connessione tra APT41 e altri threat actor di lingua cinese.

Finora, il bootkit del firmware è stato trovato solo in un singolo caso; tuttavia, altri campioni malevoli affiliati (ad esempio ScrambleCross e i suoi loader) sono stati trovati sulle reti di diverse altre vittime.

“Nonostante non si possano collegare in modo definitivo gli impianti di malware aggiuntivi trovati durante la nostra indagine relativa a MoonBounce, sembra che alcuni threat actor di lingua cinese stiano condividendo tra loro strumenti per sostenere le loro varie campagne; in particolare sembra esserci una connessione tra MoonBounce e Microcin”, ha commentato Denis Legezo, senior security researcher with Global Research and Analysis Team (GReAT).

“Inoltre, quest’ultimo bootkit UEFI mostra gli stessi notevoli progressi rispetto a MosaicRegressor che abbiamo segnalato nel 2020. Infatti, la trasformazione di un componente centrale del firmware precedentemente benigno in uno che possa facilitare la distribuzione del malware sul sistema è un’innovazione mai vista nei precedenti bootkit firmware comparabili in the wild e rende la minaccia molto più furtiva. Avevamo previsto nel 2018 che le minacce UEFI avrebbero guadagnato popolarità, e questa tendenza sembra materializzarsi. Non ci sorprenderebbe trovare ulteriori bootkit nel 2022. Fortunatamente, i vendor hanno iniziato a prestare maggiore attenzione agli attacchi al firmware e vengono adottate sempre più tecnologie di sicurezza del firmware, come BootGuard e Trusted Platform Modules”, ha commentato Mark Lechtik, senior security researcher del GReAT di Kaspersky.

R

Redazione

Nel corso degli anni ZeroUno ha esteso la sua originaria focalizzazione editoriale, sviluppata attraverso la rivista storica, in un più ampio sistema di comunicazione oggi strutturato in un portale, www.zerounoweb.it, una linea di incontri con gli utenti e numerose altre iniziative orientate a creare un proficuo matching tra domanda e offerta.

Articolo 1 di 4