Een voorheen ongedocumenteerd firmware-implantaat dat is ingezet om heimelijke volharding te behouden als onderdeel van een gerichte spionagecampagne, is in verband gebracht met de Chinees sprekende Winnti geavanceerde persistente bedreigingsgroep (APT41).
Kaspersky, met de codenaam rootkit Maan stuiteren, gekenmerkt de malware als de “meest geavanceerde” UEFI firmware-implantaat dat tot nu toe in het wild is ontdekt’, en ‘het doel van het implantaat is om de implementatie van malware in de gebruikersmodus te vergemakkelijken die de uitvoering van verdere payloads die van internet zijn gedownload, gefaseerd uitvoert’.
Op firmware gebaseerde rootkits, ooit een zeldzaamheid in het dreigingslandschap, zijn hard op weg lucratieve hulpmiddelen te worden onder geavanceerde spelers om langdurige voet aan de grond te krijgen op een manier die niet alleen moeilijk te detecteren, maar ook moeilijk te verwijderen is.
De eerste rootkit op firmwareniveau – LoJax genaamd – werd in 2018 in het wild ontdekt. Sindsdien zijn er tot nu toe drie verschillende instanties van UEFI-malware opgegraven, waaronder MosaicRegressor, FinFisher en ESPecter.
MoonBounce is om een aantal redenen zorgwekkend. In tegenstelling tot FinFisher en ESPecter, die zich richten op de EFI-systeempartitie (ESP), de nieuw ontdekte rootkit — zoals LoJax en MosaicRegressor — richt zich op de SPI-flitser, een niet-vluchtige opslag buiten de harde schijf.
Dergelijke zeer hardnekkige bootkit-malware is ondergebracht in SPI-flashopslag die op het moederbord van een computer is gesoldeerd, waardoor het onmogelijk is om deze via vervanging van de harde schijf te verwijderen en zelfs bestand is tegen herinstallatie van het besturingssysteem.
Het Russische cyberbeveiligingsbedrijf zei dat het vorig jaar de aanwezigheid van de firmware-rootkit in een enkel incident had geïdentificeerd, wat wijst op het zeer gerichte karakter van de aanval. Dat gezegd hebbende, blijft het exacte mechanisme waarmee de UEFI-firmware is geïnfecteerd, onduidelijk.
Wat nog bijdraagt aan de heimelijkheid is het feit dat er met een bestaande firmwarecomponent is geknoeid om het gedrag ervan te wijzigen – in plaats van een nieuwe driver aan de afbeelding toe te voegen – met als doel de uitvoeringsstroom van de opstartvolgorde om te leiden naar een kwaadaardige “infectieketen” die injecteert de malware in de gebruikersmodus tijdens het opstarten van het systeem, die vervolgens contact opneemt met een hardgecodeerde externe server om de payload van de volgende fase op te halen.
“De infectieketen zelf laat geen sporen achter op de harde schijf, omdat de componenten alleen in het geheugen werken, waardoor een bestandsloze aanval met een kleine voetafdruk mogelijk wordt”, merkten de onderzoekers op, eraan toevoegend dat het andere niet-UEFI-implantaten in de gerichte netwerk dat communiceert met dezelfde infrastructuur die de staging-payload heeft gehost.
De belangrijkste componenten die op meerdere knooppunten in het netwerk worden ingezet, zijn een achterdeur die wordt gevolgd als ScrambleCross (ook bekend als Crosswalk) en een aantal post-exploitatie-malware-implantaten, wat suggereert dat de aanvallers zijwaartse bewegingen uitvoerden nadat ze een eerste toegang hadden verkregen om gegevens uit specifieke machines.
Om dergelijke wijzigingen op firmwareniveau tegen te gaan, wordt aanbevolen om de UEFI-firmware regelmatig bij te werken en beveiligingen in te schakelen, zoals Laarsbeschermer, Veilig opstarten, en Trust Platform-modules (TPM).
“MoonBounce markeert een bijzondere evolutie in deze groep bedreigingen door een meer gecompliceerde aanvalsstroom te presenteren in vergelijking met zijn voorgangers en een hoger niveau van technische competentie door de auteurs, die een grondig begrip tonen van de fijnere details die betrokken zijn bij het UEFI-opstartproces, ‘, aldus de onderzoekers.
