Peretas China Terlihat Menggunakan Implan Firmware UEFI Baru dalam Serangan Bertarget

  • Whatsapp
UEFI Firmware Implant
Peretas China Terlihat Menggunakan Implan Firmware UEFI Baru dalam Serangan

News.nextcloud.asia –

Implan Firmware UEFI

Implan firmware yang sebelumnya tidak terdokumentasi yang digunakan untuk mempertahankan kegigihan tersembunyi sebagai bagian dari kampanye spionase yang ditargetkan telah dikaitkan dengan kelompok ancaman persisten tingkat lanjut Winnti yang berbahasa Cina (APT41).

Kaspersky, yang memberi kode nama rootkit BulanBounce, dicirikan malware sebagai “paling canggih UEFA implan firmware yang ditemukan di alam liar hingga saat ini,” menambahkan “tujuan implan adalah untuk memfasilitasi penyebaran malware mode pengguna yang melakukan eksekusi muatan lebih lanjut yang diunduh dari internet.”

Rootkit berbasis firmware, yang dulu jarang ada di lanskap ancaman, dengan cepat menjadi alat yang menguntungkan di antara aktor canggih untuk membantu mencapai pijakan yang sudah lama berdiri dengan cara yang tidak hanya sulit dideteksi, tetapi juga sulit dihilangkan.

Pencadangan GitHub Otomatis

Rootkit tingkat firmware pertama — dijuluki LoJax — ditemukan di alam liar pada tahun 2018. Sejak itu, tiga contoh malware UEFI yang berbeda telah ditemukan sejauh ini, termasuk MosaicRegressor, FinFisher, dan ESPecter.

Implan Firmware UEFI

MoonBounce mengkhawatirkan karena sejumlah alasan. Tidak seperti FinFisher dan ESPecter, yang membidik Partisi Sistem EFI (ESP), rootkit yang baru ditemukan — seperti LoJax dan MosaicRegressor — menargetkan lampu kilat SPI, penyimpanan non-volatil di luar hard drive.

Implan Firmware UEFI

Malware bootkit yang sangat persisten seperti itu ditempatkan di dalam penyimpanan flash SPI yang disolder ke motherboard komputer, secara efektif membuatnya mustahil untuk dihilangkan melalui penggantian hard drive dan bahkan tahan terhadap instalasi ulang sistem operasi.

Perusahaan keamanan siber Rusia mengatakan telah mengidentifikasi keberadaan rootkit firmware dalam satu insiden tahun lalu, yang menunjukkan sifat serangan yang sangat ditargetkan. Meskipun demikian, mekanisme pasti bagaimana firmware UEFI terinfeksi masih belum jelas.

Mencegah Pelanggaran Data

Menambah silumannya adalah fakta bahwa komponen firmware yang ada dirusak untuk mengubah perilakunya — daripada menambahkan driver baru ke gambar — dengan tujuan mengalihkan aliran eksekusi dari urutan boot ke “rantai infeksi” berbahaya yang menyuntikkan malware mode pengguna selama startup sistem, yang kemudian menjangkau server jarak jauh yang di-hardcode untuk mengambil payload tahap berikutnya.

“Rantai infeksi itu sendiri tidak meninggalkan jejak apa pun pada hard drive, karena komponennya hanya beroperasi di memori, sehingga memfasilitasi serangan tanpa file dengan jejak kecil,” catat para peneliti, menambahkan bahwa ia menemukan implan non-UEFI lainnya di target. jaringan berkomunikasi dengan infrastruktur yang sama yang menampung muatan pementasan.

Implan Firmware UEFI

Kepala di antara komponen-komponen yang ditempatkan di beberapa node dalam jaringan termasuk pintu belakang yang dilacak sebagai ScrambleCross (alias Crosswalk) dan sejumlah implan malware pasca-eksploitasi, menunjukkan bahwa penyerang melakukan gerakan lateral setelah mendapatkan akses awal untuk mengekstrak data dari spesifik mesin.

Untuk mengatasi modifikasi tingkat firmware seperti itu, disarankan untuk memperbarui firmware UEFI secara teratur serta mengaktifkan perlindungan seperti Penjaga Boot, Boot aman, dan Modul Platform Kepercayaan (TPM).

“MoonBounce menandai evolusi tertentu dalam kelompok ancaman ini dengan menghadirkan aliran serangan yang lebih rumit dibandingkan dengan pendahulunya dan tingkat kompetensi teknis yang lebih tinggi oleh pembuatnya, yang menunjukkan pemahaman menyeluruh tentang detail halus yang terlibat dalam proses boot UEFI, ” kata para peneliti.

.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *