News.nextcloud.asia –
Implan firmware yang sebelumnya tidak terdokumentasi yang digunakan untuk mempertahankan kegigihan tersembunyi sebagai bagian dari kampanye spionase yang ditargetkan telah dikaitkan dengan kelompok ancaman persisten tingkat lanjut Winnti yang berbahasa Cina (APT41).
Kaspersky, yang memberi kode nama rootkit BulanBounce, dicirikan malware sebagai “paling canggih UEFA implan firmware yang ditemukan di alam liar hingga saat ini,” menambahkan “tujuan implan adalah untuk memfasilitasi penyebaran malware mode pengguna yang melakukan eksekusi muatan lebih lanjut yang diunduh dari internet.”
Rootkit berbasis firmware, yang dulu jarang ada di lanskap ancaman, dengan cepat menjadi alat yang menguntungkan di antara aktor canggih untuk membantu mencapai pijakan yang sudah lama berdiri dengan cara yang tidak hanya sulit dideteksi, tetapi juga sulit dihilangkan.
Rootkit tingkat firmware pertama — dijuluki LoJax — ditemukan di alam liar pada tahun 2018. Sejak itu, tiga contoh malware UEFI yang berbeda telah ditemukan sejauh ini, termasuk MosaicRegressor, FinFisher, dan ESPecter.
MoonBounce mengkhawatirkan karena sejumlah alasan. Tidak seperti FinFisher dan ESPecter, yang membidik Partisi Sistem EFI (ESP), rootkit yang baru ditemukan — seperti LoJax dan MosaicRegressor — menargetkan lampu kilat SPI, penyimpanan non-volatil di luar hard drive.
Malware bootkit yang sangat persisten seperti itu ditempatkan di dalam penyimpanan flash SPI yang disolder ke motherboard komputer, secara efektif membuatnya mustahil untuk dihilangkan melalui penggantian hard drive dan bahkan tahan terhadap instalasi ulang sistem operasi.
Perusahaan keamanan siber Rusia mengatakan telah mengidentifikasi keberadaan rootkit firmware dalam satu insiden tahun lalu, yang menunjukkan sifat serangan yang sangat ditargetkan. Meskipun demikian, mekanisme pasti bagaimana firmware UEFI terinfeksi masih belum jelas.
Menambah silumannya adalah fakta bahwa komponen firmware yang ada dirusak untuk mengubah perilakunya — daripada menambahkan driver baru ke gambar — dengan tujuan mengalihkan aliran eksekusi dari urutan boot ke “rantai infeksi” berbahaya yang menyuntikkan malware mode pengguna selama startup sistem, yang kemudian menjangkau server jarak jauh yang di-hardcode untuk mengambil payload tahap berikutnya.
“Rantai infeksi itu sendiri tidak meninggalkan jejak apa pun pada hard drive, karena komponennya hanya beroperasi di memori, sehingga memfasilitasi serangan tanpa file dengan jejak kecil,” catat para peneliti, menambahkan bahwa ia menemukan implan non-UEFI lainnya di target. jaringan berkomunikasi dengan infrastruktur yang sama yang menampung muatan pementasan.
Kepala di antara komponen-komponen yang ditempatkan di beberapa node dalam jaringan termasuk pintu belakang yang dilacak sebagai ScrambleCross (alias Crosswalk) dan sejumlah implan malware pasca-eksploitasi, menunjukkan bahwa penyerang melakukan gerakan lateral setelah mendapatkan akses awal untuk mengekstrak data dari spesifik mesin.
Untuk mengatasi modifikasi tingkat firmware seperti itu, disarankan untuk memperbarui firmware UEFI secara teratur serta mengaktifkan perlindungan seperti Penjaga Boot, Boot aman, dan Modul Platform Kepercayaan (TPM).
“MoonBounce menandai evolusi tertentu dalam kelompok ancaman ini dengan menghadirkan aliran serangan yang lebih rumit dibandingkan dengan pendahulunya dan tingkat kompetensi teknis yang lebih tinggi oleh pembuatnya, yang menunjukkan pemahaman menyeluruh tentang detail halus yang terlibat dalam proses boot UEFI, ” kata para peneliti.
.
