Onderzoekers van Kaspersky hebben eind vorig jaar een nieuw type uefi-malware ontdekt, genaamd MoonBounce. De schadelijke software infecteert het moederbord en houdt zich schuil in het ingebouwde flashgeheugen, waardoor deze niet wordt verwijderd door het formatteren of vervangen van de aanwezige opslag. Het antivirusbedrijf vermoedt dat de schadelijke code is geschreven door de Chineestalige hackersgroep APT41.
Aangezien dergelijke tools de uefi beïnvloeden, initialiseren ze vóór de beveiligingscomponenten van het besturingssysteem. Volgens Kaspersky maakt de malware vervolgens contact met het internet om andere malafide payloads te downloaden. Het was echter niet mogelijk om deze te onderscheppen voor analyse, men kon evenmin achterhalen hoe de firmware werd geïnfecteerd.
Een schema waarin de werking van MoonBounce wordt geschetst.
Er wordt van een bestandsloze aanval met een minimale voetafdruk gesproken, aangezien de componenten hiervan uitsluitend in het geheugen werken. Dat wil echter niet zeggen dat MoonBounce niet kan worden gedetecteerd: de onderzoekers hebben de malware gespot in logs van de Kaspersky Firmware Scanner, die sinds begin 2019 in de software van het bedrijf is geïntegreerd.
De Belgische cybersecurityspecialist Xavier Mertens van Xameco en actief als docent en onderzoeker bij SANS.org voegt toe dat deze soort malware niet vaak voorkomt, aangezien deze in gerichte aanvallen wordt gebruikt en er vermoedelijk fysieke toegang vereist is om een systeem te infecteren. Zoals bij andere software, valt het aan te raden om enkel firmware te downloaden van een betrouwbare bron (zoals de fabrikant). Daarnaast moet ook een ingeschakelde tpm-module voor extra veiligheid zorgen.
Bronnen: Securelist (Kaspersky), Bleeping Computer
