Kaspersky araştırmacıları, sabit sürücüyü yeniden biçimlendirmenin veya işletim sistemini yeniden yüklemenin kurtulmaya yetmediği bir enfeksiyona neden olan zararlı yazılım Moonbounce’un neden olduğu bir vakayı ortaya çıkardı. MoonBounce eklentisi, sabit sürücüler için harici depolama bileşenlerine ait SPI flaşında gizleniyor. Serbest ortamda ilk kez 2021 baharında ortaya çıkan MoonBounce, bu şekilde Birleşik Genişletilebilir Ürün Yazılımı Arabirimi (UEFI) içine yerleşmesi nedeniyle büyük tehdit oluşturuyor.
Bu zararlı kodun, taşıdığı kodlar cihazı başlatmaktan ve kontrolü işletim sistemini yükleyen yazılıma geçirmekten sorumlu olan UEFI sabit yazılımı içindeki SPI’ya yerleşmesi, tehdidin büyümesinin asıl nedeninin oluşturuyor. MoonBounce, sabit disklere dair harici kalıcı bir depolama alanı olan SPI flash içinde gizleniyor. Bu alan kötü amaçlı kod içeriyorsa, kod işletim sisteminden önce başlatılıyor. Bu nedenle sabit sürücüyü yeniden biçimlendirmek veya işletim sistemini yeniden yüklemek enfeksiyondan kurtulmaya yetmiyor. Dahası kod sabit sürücünün dışında bir yerde bulunduğundan, bu tür önyükleme setlerinin etkinliği özellikle aygıtın ilgili bölümünü tarayan bir güvenlik çözümü söz konusu olmadıkça algılanamıyor. 2019’un başından beri Kaspersky ürünlerine dahil edilen Firmware Scanner etkinliğine bakarken keşfedilen MoonBounce,daha önce keşfedilen LoJax ve MosaicRegressor bootkitlerine göre, daha karmaşık bir saldırı akışına ve daha fazla teknik gelişmişliğe sahip.
Söz konusu eklenti, UEFI önyükleme sırasında erkenden çağrılan bellenimin CORE_DXE bileşeninde yer alıyor. Ardından eklentinin bileşenleri belirli işlevleri engelleyen bir dizi kanca aracılığıyla işletim sistemine giriyor ve burada daha fazla kötü amaçlı yükleri almak için bir komuta ve kontrol sunucusuna ulaşıyor. Bileşenler yalnızca bellekte çalıştığından enfeksiyon zincirinin kendisi sabit sürücüde herhangi bir iz bırakmıyor. MoonBounce bu kötü amaçlı yazılım parçalarını indirebildiği gibi, söz konusu kötü amaçlı yazılım parçalarından birinin daha önce sisteme bulaşması makineyi tehlikeye atmanın bir yolu olarak da hizmet edebiliyor. Böylece MoonBounce ağda yer edinebiliyor.
MoonBounce için başka bir olası bulaşma yöntemi, hedef şirkete teslim edilmeden önce makinenin güvenliğinin ihlal edilmesi şeklinde ortaya çıkıyor. Her iki durumda bulaşmanın hedeflenen makineye uzaktan erişim yoluyla gerçekleştiği düşünülüyor. Ek olarak, LoJax ve MosaicRegressor DXE sürücülerine eklenti yerleştirirken, MoonBounce daha incelikli ve daha gizli bir saldırı için mevcut bir üretici yazılımı bileşenini değiştirme yoluna gidiyor.
Söz konusu ağa karşı yürütülen genel kampanyada saldırganların dosyaları arşivlemek ve ağ bilgilerini toplamak gibi çok çeşitli eylemler gerçekleştirdikleri açık olarak tespit edildi. Saldırganların faaliyetleri boyunca kullandıkları komutlar, yanal hareketler ve verilerin sızdırma girişimleri için UEFI eklentisini kullanmaları bunun bir casusluk faaliyeti olabileceği ihtimalini güçlendiriyor.
Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT) Araştırmacısı Mark Lechtik: “Bellenimdeki önceden iyi huylu bir çekirdek bileşenini, sistemde kötü amaçlı yazılım dağıtımını kolaylaştırabilecek bir bileşene dönüştürmek önemli bir yenilik. Bu tehdidi çok daha gizli hale getiriyor. 2018’de UEFI tehditlerinin popülerlik kazanacağını tahmin etmiştik, bu eğilim gerçekleşiyor gibi görünüyor. 2022’de ek bootkit’ler bulduğumuza şaşırmayacağız. Neyse ki dağıtıcılar donanım yazılımı saldırılarına daha fazla dikkat etmeye başladı. BootGuard ve Güvenilir Platform Modülleri gibi donanım yazılımı güvenlik teknolojileri yavaş yavaş benimseniyor” şeklinde konuşuyor.
MoonBounce’ın daha ayrıntılı bir analizi için Securelist’teki rapora başvurmak mümkün.
