Ključni podaci za van
- Istraživači sigurnosti otkrili su jedinstveni malware koji inficira flash memoriju na matičnoj ploči.
- Zlonamjerni softver je teško ukloniti, a istraživači još ne razumiju kako uopće dospijeva u računalo.
-
Bootkit malware nastavit će se razvijati, upozoravaju istraživači.
Dezinfekcija računala zahtijeva malo rada. Novi zlonamjerni softver čini zadatak još glomaznijim jer su istraživači sigurnosti otkrili da se ugrađuje toliko duboko u računalo da ćete vjerojatno morati baciti matičnu ploču da ga se riješite.
Nazvan MoonBounce od strane sigurnosnih detektiva u Kasperskyju koji su ga otkrili, zlonamjerni softver, tehnički nazvan bootkit, prolazi dalje od tvrdog diska i ukopava se u firmware za pokretanje Unified Extensible Firmware Interface (UEFI) računala.
"Napad je vrlo sofisticiran", rekao je Tomer Bar, direktor sigurnosnih istraživanja u SafeBreachu, putem e-pošte za Lifewire. "Jednom kada je žrtva zaražena, vrlo je uporna jer čak ni format tvrdog diska neće pomoći."
Nova prijetnja
Bootkit zlonamjerni softver je rijedak, ali nije potpuno nov, a sam Kaspersky otkrio je dva druga u proteklih nekoliko godina. Međutim, ono što MoonBounce čini jedinstvenim je to što inficira flash memoriju koja se nalazi na matičnoj ploči, čineći je nepropusnom za antivirusni softver i sva druga uobičajena sredstva za uklanjanje zlonamjernog softvera.
Zapravo, istraživači Kasperskyja primjećuju da korisnici mogu ponovno instalirati operativni sustav i zamijeniti tvrdi disk, ali bootkit će i dalje ostati na zaraženom računalu sve dok korisnici ili ponovno ne bljeskaju zaraženu flash memoriju, što opisuju kao "vrlo složen proces", ili u potpunosti zamijenite matičnu ploču.
Ono što zlonamjerni softver čini još opasnijim, dodao je Bar, jest to što je zlonamjerni softver bez datoteka, što znači da se ne oslanja na datoteke koje antivirusni programi mogu označiti i ne ostavlja vidljiv trag na zaraženom računalu, što ga čini vrlo teško ući u trag.
Na temelju svoje analize zlonamjernog softvera, istraživači tvrtke Kaspersky primjećuju da je MoonBounce prvi korak u napadu u više faza. Nevaljali akteri koji stoje iza MoonBouncea koriste zlonamjerni softver kako bi uspostavili uporište u žrtvinom računalu, za koje promišljaju da se zatim može koristiti za postavljanje dodatnih prijetnji za krađu podataka ili postavljanje ransomwarea.
Spašajuće je, međutim, to što su istraživači do sada pronašli samo jednu instancu zlonamjernog softvera. "Međutim, radi se o vrlo sofisticiranom skupu koda, što je zabrinjavajuće; ako ništa drugo, on najavljuje vjerojatnost drugog, naprednog zlonamjernog softvera u budućnosti", upozorio je Lifewire putem e-pošte Tim Helming, evangelist sigurnosti s DomainTools.
Therese Schachner, savjetnica za kibernetičku sigurnost u VPNBrainsu se složila. "Budući da je MoonBounce posebno nevidljiv, moguće je da postoje dodatne instance MoonBounce napada koji još nisu otkriveni."
Cijepite svoje računalo
Istraživači primjećuju da je zlonamjerni softver otkriven samo zato što su napadači pogriješili korištenjem istih komunikacijskih poslužitelja (tehnički poznatih kao naredbeni i kontrolni poslužitelji) kao drugi poznati zlonamjerni softver.
Međutim, Helming je dodao da je, budući da nije jasno kako dolazi do početne infekcije, gotovo nemoguće dati vrlo konkretne upute o tome kako izbjeći zarazu. Slijeđenje dobro prihvaćenih najboljih sigurnosnih praksi ipak je dobar početak.
"Iako sam zlonamjerni softver napreduje, osnovna ponašanja koja bi prosječan korisnik trebao izbjegavati kako bi se zaštitio nisu se zapravo promijenila. Održavanje softvera ažurnim, posebno sigurnosnog softvera, važno je. Izbjegavanje klikanja na sumnjive veze i dalje je dobra strategija, " Tim Erlin, potpredsjednik strategije u Tripwireu, predložio je Lifewireu putem e-pošte.
… moguće je da postoje dodatne instance MoonBounce napada koji još nisu otkriveni.
Dodajući tu sugestiju, Stephen Gates, sigurnosni evangelist u Checkmarxu, rekao je za Lifewire putem e-pošte da prosječni korisnik stolnog računala mora ići dalje od tradicionalnih antivirusnih alata, koji ne mogu spriječiti napade bez datoteka, kao što je MoonBounce.
"Tražite alate koji mogu utjecati na kontrolu skripti i zaštitu memorije i pokušajte koristiti aplikacije iz organizacija koje koriste sigurne, moderne metodologije razvoja aplikacija, od dna niza do vrha," predložio je Gates.
Bar je, s druge strane, zagovarao korištenje tehnologija, kao što su SecureBoot i TPM, kako bi se potvrdilo da firmware za pokretanje nije modificiran kao učinkovita tehnika ublažavanja protiv bootkit zlonamjernog softvera.
Schachner je, na sličan način, sugerirao da će instaliranje ažuriranja UEFI firmvera kako budu objavljena pomoći korisnicima da ugrade sigurnosne popravke koji bolje štite njihova računala od novih prijetnji kao što je MoonBounce.
Nadalje, također je preporučila korištenje sigurnosnih platformi koje uključuju otkrivanje prijetnji firmvera. "Ova sigurnosna rješenja omogućuju korisnicima da budu obaviješteni o potencijalnim prijetnjama firmvera što je prije moguće kako bi se na njih moglo odgovoriti na vrijeme prije nego prijetnje eskaliraju."
