Tehnoloģijas

Nenotveramāks un noturīgāks: trešais zināmais aparātprogrammatūras sāknēšanas lauznis apliecina ievērojamu progresu

Nenotveramāks un noturīgāks: trešais zināmais aparātprogrammatūras sāknēšanas lauznis apliecina ievērojamu progresu

„Kaspersky” pētnieki ir atraduši trešo aparātprogrammatūras sāknēšanas laužņa (firmware bootkit) izmantošanas gadījumu reālajā dzīvē. Par „MoonBounce” iedēvētais ļaunprātīgais implants ir paslēpts datora UEFI (vienotās paplašināmās aparātprogrammatūras saskarnes) aparātprogrammatūras, kas ir neatņemama datora sastāvdaļa, SPI zibatmiņā — atmiņas komponentā, kas atrodas ārpus cietā diska. Kā zināms, no šādiem implantiem ir grūti atbrīvoties un to redzamība aizsardzības izstrādājumiem ir ierobežota. „MoonBounce”, kas reālajā dzīvē pirmo reizi parādījās 2021. gada pavasarī, uzbrukuma process ir sarežģītāks un demonstrē acīmredzamu progresu salīdzinājumā ar UEFI aparātprogrammatūras sāknēšanas laužņiem, par kuriem ziņots agrāk. „Kaspersky” pētnieki šo uzbrukumu ar lielu pārliecību piedēvē plaši pazīstamajam sarežģītu mērķuzbrukumu (APT) izpildītājam APT41.

UEFI aparātprogrammatūra ir izšķirīgi svarīga sastāvdaļa lielākājā daļā datoru; tās kods ir atbildīgs par ierīces sāknēšanu un vadības nodošanu programmatūrai, kas ielādē operētājsistēmu. Šis kods atrodas tā dēvētajā SPI zibatmiņā — nemainīgā atmiņā, kas atrodas ārpus cietā diska. Ja šajā aparātprogrammatūrā ir ietverts ļaunprātīgs kods, tad tas tiks palaists pirms operētājsistēmas, tādējādi padarot aparātprogrammatūras sāknēšanas laužņa implantēto ļaunprogrammatūru īpaši grūti izdzēšamu; no tās nevar atbrīvoties, vienkārši pārformatējot cieto disku vai no jauna ieinstalējot operētājsistēmu. Turklāt, tā kā kods atrodas ārpus cietā diska, šāda sāknēšanas laužņa darbību faktiski nepamana lielākā daļa aizsardzības risinājumu, ja vien tiem nav funkcijas, kas skenē tieši šo ierīces daļu.

„MoonBounce” ir tikai trešais reālajā dzīvē atrastais UEFI sāknēšanas lauznis, par kuru ziņots. Tas parādījās 2021. gada pavasarī, un „Kaspersky” pētnieki to pirmo reizi pamanīja, kad aplūkoja sava „Firmware Scanner” darbību, kas kopš 2019. gada sākuma tiek iekļauts „Kaspersky” izstrādājumos tieši tāpēc, lai noteiktu apdraudējumus, kuri slēpjas ievadizvades pamatsistēmas lasāmatmiņā, ieskaitot UEFI aparātprogrammatūras attēlus. Salīdzinot ar abiem agrāk atklātajiem sāknēšanas laužņiem „LoJax” un „MosaicRegressor”, „MoonBounce” demonstrē ievērojamu progresu ar sarežģītāku uzbrukuma procesu un lielāku tehnisko izsmalcinātību.

Implants atrodas aparātprogrammatūras komponentā CORE_DXE, kas tiek izsaukts UEFI sāknēšanas secības sākumā. Pēc tam, izmantojot vairākas aizķeres, kas pārtver noteiktas funkcijas, implanta komponenti nonāk operētājsistēmā, kur tie sazinās ar komandvadības serveri, lai saņemtu nākamos ļaunvērtumus, ko mums neizdevās iegūt. Svarīgi, ka pati inficēšanas ķēde neatstāj nekādas pēdas cietajā diskā, jo tās komponenti darbojas tikai atmiņā — tas ļauj veikt bezdatņu uzbrukumu ar mazu pēdu nospiedumu.

Analizējot „MoonBounce”, „Kaspersky” pētnieki vairākos viena tīkla mezglos atrada vairākus ļaunprātīgus ielādētājus un pēcatmūķēšanas ļaunprogrammatūras. To vidū ir atmiņas implants „ScrambleCross” jeb „Sidewalk”, kas var sazināties ar C2 serveri, lai apmainītos ar informāciju un palaistu papildu spraudņus, publiski pieejamais pēcatmūķēšanas rīks „Mimikat_ssp”, ko izmanto akreditācijas datu un drošības noslēpumu izvadei, iepriekš nezināma lūka, kuras pamatā ir „Golang”, un ļaunprogrammatūra „Microcin”, ko parasti izmanto apdraudējumu izpildītājs „SixLittleMonkeys”.

Pagaidām nav zināms, kā tieši tiek ievazāta infekcija, bet tiek pieņemts, ka inficēšana notiek, izmantojot tālpiekļuvi upura datoram. Turklāt „LoJax” un „MosaicRegressor” izmantoja DXE draiveru papildinājumus, bet „MoonBounce” modificē pastāvošo aparātprogrammatūras komponentu, lai uzbrukums būtu smalkāks un nemanāmāks.

Vispār kampaņā pret attiecīgo tīklu bija redzams, ka uzbrucēji veica visdažādākās darbības, piemēram, arhivēja datnes un ievāca tīkla informāciju. Uzbrucēju darbības gaitā izmantotās komandas liecina, ka viņus interesēja sānkustība un datu eksfiltrēšana, un, ņemot vērā, ka tika izmantots vienotās paplašināmās aparātprogrammatūras saskarnes implants, visticamāk, uzbrucēji bija ieinteresēti pastāvīgā spiegošanā.

„Kaspersky” pētnieki ar lielu pārliecību piedēvē „MoonBounce” grupai APT41, kas ir plaši pazīstama ķīniešvalodīga apdraudējumu izpildītāja, kura veic kiberspiegošanas un kibernoziedzības kampaņas visā pasaulē vismaz kopš 2012. gada. Turklāt dažu iepriekš minēto ļaunprogrammatūru pastāvēšana tajā pašā tīklā liecina par APT41 iespējamo saikni ar citiem ķīniešvalodīgajiem apdraudējumu izpildītājiem.

Pagaidām šis aparātprogrammatūras sāknēšanas lauznis ir atrasts tikai vienreiz. Tomēr vairāku citu upuru tīklos ir atrasti citi saistīti ļaunprātīgi eksemplāri (piemēram, „ScrambleCross” un tā ielādētāji).

„Mēs nevaram pētījuma gaitā atrastos papildu ļaunprogrammatūru implantus noteikti saistīt tieši ar „MoonBounce”, tomēr šķiet, ka daži ķīniešvalodīgie apdraudējumu izpildītāji savstarpēji apmainās ar rīkiem, lai palīdzētu dažādās kampaņās; it sevišķi šķiet, ka pastāv mazticamā saikne starp „MoonBounce” un „Microcin”,” piebilst Starptautiskās pētniecības un analīzes grupas vecākais drošības pētnieks Deniss Legezo.

„Iespējams, daudz svarīgāk, ka šajā jaunākajā UEFI sāknēšanas lauznī ir redzami ievērojami uzlabojumi salīdzinājumā ar „MosaicRegressor”, par kuru informējām 2020. gadā. Faktiski līdz šim labdabīga aparātprogrammatūras pamatkomponenta pārveidošana par tādu, kas var atvieglot ļaunprogrammatūras izvietošanu sistēmā, ir inovācija, kas nebija novērojama iepriekšējos salīdzināmos aparātprogrammatūras sāknēšanas laužņos reālajā dzīvē un kas padara apdraudējumu daudz nemanāmāku. Jau 2018. gadā mēs prognozējām, ka UEFI apdraudējumi kļūs populārāki, un šķiet, ka šī tendence īstenojas. Neizbrīnīs, ja 2022. gadā atradīsim papildu sāknēšanas laužņus. Par laimi, piegādātāji ir sākuši pievērst vairāk uzmanības uzbrukumiem aparātprogrammatūrai un pakāpeniski tiek ieviests vairāk aparātprogrammatūras aizsardzības tehnoloģiju, piemēram, „BootGuard” un uzticamie platformas moduļi,” komentē „Kaspersky” Starptautiskās pētniecības un analīzes grupas (GReAT) vecākais drošības pētnieks Marks Lehtiks.

Lai būtu pasargāts no „MoonBounce” un tamlīdzīgiem UEFI sāknēšanas laužņiem, „Kaspersky” iesaka rīkoties šādi.

  • Nodrošināt sava drošības vadības centra darbiniekiem piekļuvi jaunākajai informācijai par apdraudējumiem. Portāls „Kaspersky Threat Intelligence” ir vienots piekļuves punkts uzņēmuma izlūkdatiem par apdraudējumiem, kas sniedz „Kaspersky” vairāk nekā 20 gadu laikā apkopotos datus un atziņas par kiberuzbrukumiem.
  • Lai incidentus pamanītu, izmeklētu un laikus novērstu galiekārtu līmenī, ieviest noteikšanas un reaģēšanas risinājumus galiekārtām.
  • Izmantot spēcīgu galiekārtu drošības izstrādājumu, kas var noteikt aparātprogrammatūras izmantošanu.
  • Regulāri atjaunināt UEFI aparātprogrammatūru un izmantot tikai uzticamu piegādātāju aparātprogrammatūru.
  • Pēc noklusējuma iespējot drošo sāknēšanu, it sevišķi „BootGuard” un uzticamos platformas moduļus (TPM), kur iespējams.

Par „Kaspersky”

„Kaspersky” ir starptautisks kiberdrošības un digitālās informācijas aizsardzības uzņēmums, kas dibināts 1997. gadā. „Kaspersky” dziļā draudu pazīšana un drošības zināšanas nepārtraukti pārtop inovatīvos drošības risinājumos un pakalpojumos, lai aizsargātu uzņēmumus, izšķirīgi svarīgas infrastruktūras, valdības un patērētājus visā pasaulē. Uzņēmuma visaptverošajā drošības klāstā ietilpst labākā galiekārtu aizsardzība un vairāki specializēti drošības risinājumi un pakalpojumi cīņai ar sarežģītiem un mainīgiem digitālajiem apdraudējumiem. Vairāk nekā 400 miljoni lietotāju ir aizsargāti ar „Kaspersky” tehnoloģijām, un mēs palīdzam 240 tūkstošiem korporatīvo klientu aizsargāt to, kas viņiem ir vissvarīgākais.

Click to comment

Leave a Reply

Jūsu e-pasta adrese netiks publicēta.

Lasītākas ziņas

To Top