Det ondsindede implantat (malware), der har fået navnet MoonBounce, skjules i en helt essentiel del af computeren, nemlig i UEFI-firmwarens (Unified Extensible Firmware Interface) SPI-flash, der er en lagringskomponent uden for harddisken. Disse implantater er notorisk vanskelige at fjerne og er kun i begrænset omfang synlige for it-sikkerhedsløsninger. MoonBounce, der første gang blev fundet i foråret 2021, er siden blevet videreudviklet og er nu særdeles sofistikeret.

Et rootkit er en malware, som er designet til lade hackere tilgå og styre en angrebet enhed. Når der er tale om et firmware bootkit, er der tale om malware, der angriber enhedens firmware (aka hardware) i stedet for operativsystemet, hvilket gør den svær at opdage. Fordi de rammer hardwaren, kan hackere derfor logge dine tastetryk og overvåge din aktivitet på nettet.

Den opdagede malware rammer UEFI-firmwaren, som er en kritisk komponent i langt de fleste maskiner; det er nemlig dens kode, der starter enheden op og videregiver kontrollen til den software, der indlæser operativsystemet. Denne kode ligger i SPI-flash; en lagringskomponent, der ligger udenfor harddisken. Hvis firmwaren indeholder skadelig kode, så vil denne kode blive startet før operativsystemet – og dét gør, at malwaren bliver særdeles vanskelig at fjerne igen. Den ondsindede kode kan ikke fjernes ved blot at formatere harddisken eller geninstallere operativsystemet. Da koden desuden er placeret uden for harddisken, bliver bootkit-aktivitet kun opdaget af de forholdsvis få it-sikkerhedsløsninger, der specifikt skanner denne del af enheden.

MoonBounce er kun det tredje rapporterede UEFI bootkit i verden. Det dukkede op i foråret 2021 og blev først opdaget af Kasperskys it-sikkerhedsefterforskere, da de undersøgte Kasperskys Firmware Scanner, som har været inkluderet i Kaspersky-produkter siden begyndelsen af 2019, for specifikt at opdage trusler, der gemmer sig i ROM BIOS, herunder UEFI firmware-images. Sammenlignet med de to tidligere fundne bootkits, LoJax og MosaicRegressor, har MoonBounce et betydeligt mere kompliceret angrebsflow og større teknisk sofistikering.

Det er med stor sikkerhed hackergruppen APT41, der står bag

Kasperskys it-sikkerhedsefterforskere har med stor sikkerhed tilskrevet MoonBounce til APT41, der af flere kilder menes at være en kinesisktalende hackergruppe, som har gennemført cyberspionage- og cyberkriminalitetskampagner rundt om i verden siden tidligst kendt 2012. Desuden tyder eksistensen af nogle af de fundne malware på en mulig forbindelse mellem APT41 og andre kinesisktalende trusselsaktører.

Indtil videre er firmware bootkit'et kun blevet fundet i et enkelt tilfælde. Andre tilknyttede skadelige prøver (f.eks. ScrambleCross og dets loadere) er imidlertid blevet fundet på flere andre ofres netværk.

- På trods af, at vi ikke kan forbinde de andre malware-implantater, der blev fundet i vores undersøgelse, til MoonBounce specifikt, ser det ud som om, at nogle kinesisk-talende hackergrupper deler værktøjer med hinanden. Der synes især at være en forbindelse mellem MoonBounce og Microcin, siger Denis Legezo, der er senior it-sikkerhedsefterforsker i Global Research and Analysis Team (GReAT) hos Kaspersky.

- Måske endnu vigtigere er det, at dette seneste UEFI bootkit viser samme bemærkelsesværdige udvikling som MosaicRegressor, som vi rapporterede om tilbage i 2020. Faktisk er det en nyskabelse at kunne omdanne en tidligere godartet kernekomponent i firmware til en, der kan lette udbredelsen af malware på systemet. Det er ikke set i tidligere sammenlignelige firmware-bootkits – og dét gør, at it-sikkerhedstruslen er langt mere snigende. Vi forudsagde tilbage i 2018, at UEFI-trusler ville blive mere og mere populære, og denne tendens ser ud til at materialisere sig. Vi vil ikke blive overrasket over at finde flere bootkits i 2022. Heldigvis er it-sikkerhedsleverandørerne begyndt at blive mere opmærksomme på firmwareangreb, og flere firmware-sikkerhedsteknologier, såsom BootGuard og Trusted Platform Modules, bliver gradvist indført, siger Mark Lechtik, der er senior it-sikkerhedsefterforsker i GReAT hos Kaspersky.