MoonBounce rappresenta il terzo caso “in the wild” di un firmware bootkit. Si tratta, secondo Kaspersky, del vettore di attacco più insidioso dei precedenti bootkit UEFI come, ad esempio FinFisher, lo spyware dotato di ben quattro livelli di offuscamento per eludere i controlli di sicurezza. Scopriamo i dettagli della nuova minaccia e cerchiamo di capire chi può essere l’autore di questo malware.
Indice degli argomenti
Cos’è MoonBounce
MoonBounce è un firmware bootkit, significa che si può installare nel firmware di un sistema, bypassando i controlli di sicurezza e soprattutto diventando invisibile agli antivirus.
“Un codice malevolo che può essere impiantato nel firmware di un sistema e, nel caso di MoonBounce, nella memoria flash SPI della scheda madre”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “rappresenta uno dei vettori di attacco più sofisticati nell’attuale panorama delle minacce“.
La consapevolezza di Kaspersky per i sistemi compromessi a livello del firmware UEFI deriva dal fatto che l’azienda di cyber security ha integrato il Firmware Scanner nei suoi prodotti, fin dall’inizio del 2019. Esaminando le componenti del firmware corrotto e altri artefatti malevoli del network, i ricercatori di sicurezza sono giunti alle seguenti conclusioni:
- ispezionando il firmware UEFI, Kaspersky ha scoperto che è stato manomesso per integrare un codice malevolo chiamato MoonBounce;
- l’installazione su memoria flash SPI che si trova nella scheda madre invece che nell’hard disk, rende il malware più persistente nel sistema attraverso la formattazione del disco o la sua sostituzione;
- l’installazione facilita la diffusione di malware user-mode in fase di esecuzioni o successivi payload scaricati da internet;
- la catena d’infezione non lascia alcuna traccia sull’hard drive, dal momento che le sue componenti operano soltanto nella memoria, così agevolando un attacco fileless lasciando solo una piccolissima traccia;
- altre installazioni non-UEFI nel network sotto attacco che comunica con la stessa infrastruttura che ospita il payload;
- la scoperta che dietro all’attacco c’è il gruppo APT41 di lingua cinese.
I rischi per gli utenti
Ciò dipende dal fatto che “queste minacce non sono rilevabili da qualunque soluzione software di difesa e antivirus che opera al livello di sistema operativo”, mette in guardia Paganini: l’installazione del malware avviene “nella sequenza di boot del sistema e per questo motivo viene eseguito prima ancora del sistema operativo stesso a cui è trasparente“, continua l’analista: “non solo, queste minacce sono persistenti e resistenti anche in eventuali riavvii del sistema e sostituzione o formattazione dei dischi. Ciò perché sono impiantati direttamente in componenti software in esecuzione su un componente elettronico della macchina, i cosiddetti firmware”.
I probabili autori di attacchi fileless
“MoonBounce è estremamente subdolo in quanto non lascia alcun artefatto sulla macchina, non scrive informazioni sul disco e la sua esecuzione avviene direttamente in memoria, parliamo perciò di attacchi fileless”, sottolinea ancora Paganini: “Il suo compito è quello di consentire il caricamento di ulteriori malware che possano essere utilizzati per condurre ulteriori operazioni malevoli sul sistema infetto”.
“Va detto infine”, conclude l’esperto di cyber security, “che questa tipologia di malware è estremamente sofisticata, lo sviluppo di impianti UEFI è estremamente complesso e costoso. Per questo motivo si contano selle dita di una mano esempi di questo tipo di minaccia utilizzato in attacchi in giro per il mondo. Proprio per l’elevato livello di sofisticazione si ritiene che gli attori malevoli dietro lo sviluppo degli stessi siano ad oggi principalmente attori nation-state, come il gruppo APT41 vicino al governo di Pechino“.
I dettagli dell’attacco
La prima volta in cui è stato scoperto un UEFI implant è stato nella scorsa primavera, quando era stato impiantato nella componente del CORE_DXE del firmware (nota come DXE Foundation), chiamata nella fase DXE (Driver Execution Environment) della sequenza UEFI di boot.
Questa componente è responsabile dell’inizializzazione di strutture essenziali di dati e interfacce di funzione, una delle quali è EFI Boot Services Table, un set di indicazioni di routine che fanno parte dell’immagine stessa del CORE_DXE e sono richiamabili dai DXE driver nella boot chain. La fonte del contagio inizia con esche che intercettano l’esecuzione di varie funzioni nell’EFI Boot Services Table, namely AllocatePool, CreateEventEx e ExitBootServices.
Queste “esche” deviano il flusso delle funzioni verso shellcode malevoli aggiunti dagli attaccanti all’immagine CORE_DXE image, che a sua volta imposta esche aggiuntive alle componenti successive della boot chain ovvero Windows loader.
Si tratta di una catena di esche multi-stadio che facilita la propagazione di codice malevolo dall’immagine CORE_DXE ad altre componenti di boot nel corso dell’avvio di sistema, permettendo l’introduzione di un driver malevolo nello spazio di indirizzi di memoria del kernel di Windows. Questo driver, che gira durante le fasi iniziali dell’esecuzione del kernel, è incaricato di sferrare un attacco malware user-mode, iniettandolo nel processo svchost.exe, una volta in cui il sistema operativo è in funzione. Alla fine, il malware user-mode raggiunge l’URL C&C codificata (per esempio hxxp://mb.glbaitech[.]com/mboard.dll) e punta a dare il via a una nuova fase del payload, nella memoria, a questo punto irrecuperabile.
Come proteggersi
Oltre a fornire un’adeguata formazione al personale, in ambito enterprise, le aziende devono adottare servizi mirati contro gli attacchi di alto profilo, in modo tale identificarli e bloccarli fin dalle fasi iniziali.
L’importante è evitare che i cyber criminali raggiungano i loro obiettivi.
