Kluczowe dania na wynos
- Analitycy bezpieczeństwa odkryli unikalne złośliwe oprogramowanie, które infekuje pamięć flash na płycie głównej.
- Złośliwe oprogramowanie jest trudne do usunięcia, a naukowcy nie rozumieją jeszcze, w jaki sposób dostaje się do komputera.
-
Złośliwe oprogramowanie typu bootkit będzie nadal ewoluować, ostrzegają badacze.
Dezynfekcja komputera wymaga trochę pracy. Nowe złośliwe oprogramowanie sprawia, że zadanie to jest jeszcze bardziej uciążliwe, ponieważ badacze bezpieczeństwa odkryli, że osadza się tak głęboko w komputerze, że prawdopodobnie będziesz musiał odrzucić płytę główną, aby się go pozbyć.
Nazywane MoonBounce przez specjalistów ds. bezpieczeństwa z firmy Kaspersky, którzy je odkryli, złośliwe oprogramowanie, technicznie nazywane bootkitem, przechodzi poza dysk twardy i zakopuje się w oprogramowaniu rozruchowym Unified Extensible Firmware Interface (UEFI).
„Atak jest bardzo wyrafinowany” – powiedział Lifewire Tomer Bar, dyrektor ds. badań nad bezpieczeństwem w SafeBreach. „Gdy ofiara zostanie zainfekowana, jest to bardzo trwałe, ponieważ nawet format dysku twardego nie pomoże”.
Nowe zagrożenie
Złośliwe oprogramowanie typu Bootkit jest rzadkie, ale nie zupełnie nowe, a sam Kaspersky odkrył w ciągu ostatnich kilku lat dwa inne. Jednak tym, co sprawia, że MoonBounce jest wyjątkowy, jest to, że infekuje pamięć flash znajdującą się na płycie głównej, czyniąc ją niewrażliwą na oprogramowanie antywirusowe i inne typowe sposoby usuwania złośliwego oprogramowania.
W rzeczywistości badacze z firmy Kaspersky zauważają, że użytkownicy mogą ponownie zainstalować system operacyjny i wymienić dysk twardy, ale bootkit pozostanie na zainfekowanym komputerze, dopóki użytkownicy nie sflashują zainfekowanej pamięci flash, co opisują jako „bardzo złożony proces” lub całkowicie wymienić płytę główną.
To, co sprawia, że złośliwe oprogramowanie jest jeszcze bardziej niebezpieczne, dodał Bar, to fakt, że złośliwe oprogramowanie jest bezplikowe, co oznacza, że nie opiera się na plikach, które programy antywirusowe mogą oznaczać, i nie pozostawia widocznego śladu na zainfekowanym komputerze, co sprawia, że jest bardzo trudne do wyśledzenia.
Na podstawie analizy szkodliwego oprogramowania badacze z Kaspersky zauważają, że MoonBounce to pierwszy krok w wieloetapowym ataku. Nieuczciwi aktorzy stojący za MoonBounce wykorzystują to złośliwe oprogramowanie, aby ustanowić przyczółek na komputerze ofiary, który można następnie wykorzystać do wdrożenia dodatkowych zagrożeń w celu kradzieży danych lub wdrożenia oprogramowania ransomware.
Raczej ratunkiem jest to, że badacze do tej pory znaleźli tylko jeden przypadek złośliwego oprogramowania. „Jednakże jest to bardzo wyrafinowany zestaw kodu, który jest niepokojący; jeśli nic więcej, zwiastuje prawdopodobieństwo pojawienia się innego, zaawansowanego złośliwego oprogramowania w przyszłości” Tim Helming, ewangelista bezpieczeństwa w DomainTools, ostrzegał Lifewire w wiadomości e-mail.
Therese Schachner, konsultantka ds. bezpieczeństwa cybernetycznego w VPNBrains, zgodziła się. „Ponieważ MoonBounce jest szczególnie ukryty, możliwe jest, że istnieją dodatkowe przypadki ataków MoonBounce, które nie zostały jeszcze odkryte.”
Zaszczep swój komputer
Naukowcy zauważają, że złośliwe oprogramowanie zostało wykryte tylko dlatego, że osoby atakujące popełniły błąd polegający na użyciu tych samych serwerów komunikacyjnych (technicznie znanych jako serwery dowodzenia i kontroli), co inne znane złośliwe oprogramowanie.
Jednak Helming dodał, że ponieważ nie jest jasne, jak przebiega początkowa infekcja, praktycznie niemożliwe jest podanie bardzo konkretnych wskazówek, jak uniknąć zarażenia. Postępowanie zgodnie z dobrze przyjętymi najlepszymi praktykami w zakresie bezpieczeństwa jest jednak dobrym początkiem.
Chociaż samo złośliwe oprogramowanie się rozwija, podstawowe zachowania, których przeciętny użytkownik powinien unikać, aby się chronić, tak naprawdę nie uległy zmianie. Dbanie o aktualność oprogramowania, zwłaszcza oprogramowania zabezpieczającego, jest ważne. Unikanie klikania podejrzanych linków pozostaje dobrą strategią” – zasugerował firmie Lifewire Tim Erlin, wiceprezes ds. strategii w firmie Tripwire za pośrednictwem poczty elektronicznej.
… możliwe, że istnieją dodatkowe przypadki ataków MoonBounce, które nie zostały jeszcze odkryte.
Dodając do tej sugestii, Stephen Gates, ewangelista bezpieczeństwa w Checkmarx, powiedział Lifewire za pośrednictwem poczty elektronicznej, że przeciętny użytkownik komputera stacjonarnego musi wyjść poza tradycyjne narzędzia antywirusowe, które nie mogą zapobiec atakom bezplikowym, takim jak MoonBounce.
„Wyszukaj narzędzia, które mogą wykorzystać kontrolę skryptów i ochronę pamięci, i spróbuj użyć aplikacji z organizacji, które stosują bezpieczne, nowoczesne metodologie tworzenia aplikacji, od dołu do góry”, zasugerował Gates.
Bar z drugiej strony opowiadał się za wykorzystaniem technologii, takich jak SecureBoot i TPM, w celu sprawdzenia, czy oprogramowanie układowe nie zostało zmodyfikowane jako skuteczna technika łagodzenia skutków złośliwego oprogramowania typu bootkit.
Schachner, podobnie, zasugerował, że instalowanie aktualizacji oprogramowania układowego UEFI w miarę ich udostępniania pomoże użytkownikom wprowadzić poprawki bezpieczeństwa, które lepiej chronią ich komputery przed pojawiającymi się zagrożeniami, takimi jak MoonBounce.
Co więcej, zaleciła również korzystanie z platform bezpieczeństwa, które obejmują wykrywanie zagrożeń oprogramowania układowego. „Te rozwiązania bezpieczeństwa umożliwiają użytkownikom jak najszybsze informowanie użytkowników o potencjalnych zagrożeniach oprogramowania układowego, dzięki czemu można je odpowiednio szybko rozwiązać, zanim zagrożenia się nasilą”.
