Un nuevo kit de arranque de firmware descubierto en la naturaleza muestra mejoras dramáticas con respecto a herramientas anteriores, según los investigadores de Kaspersky que lo descubrieron. Apodado MoonBounce, este implante malicioso se esconde en el firmware de la interfaz de firmware extensible unificada (UEFI) de una computadora en el flash SPI del sistema, un componente de almacenamiento externo al disco duro, lo que dificulta su eliminación y la detección de los productos de seguridad patentados.
MoonBounce es el tercer bootkit descubierto en la naturaleza, los otros son LoJax y MosaicRegressor, y en comparación con ellos, demuestra un “avance significativo, con un flujo de ataque más complicado y una mayor sofisticación técnica”. Kaspersky lo detectó por primera vez en 2021 a través de su Firmware Scanner, que está diseñado para detectar amenazas ocultas en la ROM BIOS, incluidas las imágenes de firmware UEFI.
“Este último bootkit UEFI muestra algunos avances notables en comparación con MosaicRegressor, del que informamos en 2020”, dijo Mark Lechtik, investigador principal del Equipo de análisis e investigación global (GReAT) de Kaspersky. “De hecho, transformar un componente central previamente benigno en el firmware en uno que pueda facilitar la implementación de malware en el sistema es una innovación que no se vio en bootkits de firmware comparables anteriores y hace que la amenaza sea mucho más sigilosa.
“Predijimos en 2018 que las amenazas UEFI ganarían popularidad, y esta tendencia parece estar materializándose. No nos sorprendería encontrar bootkits adicionales en 2022. Afortunadamente, los proveedores han comenzado a prestar más atención a los ataques de firmware y se están adoptando gradualmente más tecnologías de seguridad de firmware, como BootGuard y Trusted Platform Modules”.
El equipo de investigación de Kaspersky dice que puede atribuir el uso de MoonBounce en ataques cibernéticos con “confianza considerable” al grupo de amenazas persistentes avanzadas (APT) APT41, una operación respaldada por China que también se conoce con el nombre de Bario, Winnti, Wicked Panda o Wicked. Spider, según el servicio de información sobre amenazas al que esté suscrito.
El firmware UEFI es importante porque es un componente crítico en la gran mayoría de las computadoras, donde sirve para arrancar el dispositivo y pasar el control al software que carga el sistema operativo (SO). El código que hace esto descansa en SPI flash.
Si un actor malicioso puede alterar con éxito este firmware para incluir código malicioso, potencialmente puede obtener una gran puntuación, porque el código se iniciará antes que el sistema operativo y, por lo tanto, puede implantar malware que es muy difícil de eliminar; no se puede eliminar a través de la relativamente simple acto de formatear el disco duro o reinstalar el sistema operativo, por ejemplo.
Además de esto, debido a que el código malicioso no descansa en el disco duro, la actividad de un bootkit malicioso es prácticamente indetectable a menos que el equipo de TI haya adquirido un servicio de seguridad que escanea específicamente esta parte del sistema, como se mencionó anteriormente, Kaspersky tiene esa herramienta, pero muchas otras no.
En el caso de MoonBounce, el implante malicioso se basa en el componente CORE_DXE del firmware que cobra vida muy temprano en el proceso de arranque de UEFI. Al interceptar varias funciones durante este proceso, los componentes de MoonBounce se abren paso en el sistema operativo del dispositivo, desde donde pueden comunicarse con su infraestructura de comando y control (C2) para recuperar cargas útiles maliciosas. Desde aquí es un salto rápido, salta y salta a un ataque cibernético en toda regla.
Los analistas de Kaspersky dijeron que en el incidente específico que abordaron, encontraron varios cargadores maliciosos y malware posterior a la explotación en varios nodos de la red, incluidos ScrambeCross, también conocido como Sidewalk, un implante en memoria utilizado para hablar con un servidor C2 y Mimikat_ssp, una herramienta posterior a la explotación utilizada para volcar las credenciales, una puerta trasera previamente desconocida basada en Golang y el malware Microcin.
Dijeron que estaba claro que el operador de MoonBounce había llevado a cabo una amplia gama de acciones, archivando archivos y realizando un reconocimiento de la red; lo más probable es que estuvieran tratando de lograr la capacidad de moverse lateralmente a través de la red de su objetivo, y dado el modus operandi de APT41, probablemente estaban interesados. en espionaje corporativo.
Sin embargo, no pudieron establecer el vector de infección exacto utilizado por MoonBounce, pero puede ser una suposición segura de que se explotaron los protocolos de acceso remoto.
Los CISO pueden tomar una serie de pasos específicos para protegerse contra MoonBounce, desde acciones estándar como proporcionar a sus equipos información actualizada sobre amenazas, herramientas de detección y respuesta de puntos finales (EDR) y productos de protección de puntos finales que pueden detectar específicamente el uso de firmware.
En cuanto a la protección de la propia UEFI, la empresa recomienda que los defensores actualicen periódicamente su firmware UEFI, utilizando solo firmware de proveedores de confianza y, cuando corresponda, habiliten el arranque seguro de forma predeterminada.