Zlonamerna programska oprema MoonBounce

Spomladi 2021 se je kot del zelo usmerjenega napada pojavila nova grožnja implantata UEFI. Analiza napada in grožnje, ki se spremlja kot MoonBounce, je bila objavljena v poročilu, ki ga je objavil Securelist. Raziskovalci so odkrili, da je okužba vključevala spremembo ene same komponente vdelane programske opreme ciljnega računalniškega sistema.

S tem so napadalci nato lahko prestregli predvideni tok izvajanja zagonskega zaporedja naprave in namesto tega sprožili napredno verigo okužbe. Čeprav ni dokončno, več dejavnikov kaže na to, da je MoonBounce povezan s skupino APT (Advanced Persistent Threat) APT41, za katero se domneva, da je povezana s Kitajsko.

Podrobnosti o MoonBounce

Grožnja MoonBounce je še posebej prikrita, saj izkorišča SPI flash okužene naprave. SPI je kratica za Serial Peripheral Interface, serijski protokol, ki omogoča lajšanje komunikacije med različnimi napravami, kot so serijske bliskovne naprave. Posledično implantat MoonBounce popolnoma zaobide potrebo po obstoju na trdem disku sistema.

Poleg tega lahko vztraja pri vseh formatih diskov ali zamenjavah diskov. Okužbena veriga kot celota pušča za seboj malo sledi, saj se izvaja popolnoma brez datotek in v celoti v pomnilniku. Glavni namen grožnje MoonBounce je omogočiti dostavo zlonamerne programske opreme v uporabniškem načinu, ki je nato zadolžena za uvajanje dodatnih koristnih tovorov naslednje stopnje, pridobljenih iz interneta.