המטרה – ריגול: נחשפה "הנוזקה המתקדמת ביותר נגד קושחות UEFI"

באחרונה נחשף מקרה שלישי של נוזקה מסוג ערכת אתחול קושחה (Firmware bootkit), שאותרה במחשב נגוע ולא הייתה מוכרת קודם לכן. לגילוי אחראים חוקרי קספרסקי, ובהם חוקר ישראלי.

השתל הזדוני, שזכה לכינוי MoonBounce (קפיצת ירח), מסתתר בקושחת UEFI (ר"ת Unified Extensible Firmware Interface). זהו רכיב תוכנה חיוני שמשמש את המחשב לשם תהליך האתחול שלו וממוקם על זיכרון פלאש חיצוני לכונן הקשיח. שתלים שכאלה קשים מאוד לזיהוי, לאיתור ולהסרה. השתל הנוכחי, הסבירו החוקרים, מתוחכם משמעותית ביחס לשתלי UEFI עליהם דווח.

קושחת UEFI היא מרכיב קריטי ברוב המכריע של מחשבים. הקוד שלה אחראי לביצוע האתחולים הנדרשים לשם טעינה והעברת השליטה למערכת ההפעלה בזמן עליית המחשב. קוד זה מצוי על גבי רכיב זיכרון פלאש הממוקם על לוח האם – משמע, שטח אחסון חיצוני לדיסק הקשיח. כאשר הקושחה מכילה נוזקה, זו תופעל לפני שמערכת ההפעלה עולה – מה שמקשה מאוד על הסרתה. לא ניתן להתמודד עם איום שכזה על ידי פרמוט מחדש של הכונן הקשיח או התקנה מחדש של מערכת ההפעלה.

MoonBounce התגלתה בראשונה באביב 2021. "הגרסה הנוכחית מציגה תחכום טכני רב יותר" בהשוואה לשתי ערכות אתחול קושחה דומות, שהתגלו בעבר -LoJax ו-MosaicRegressor, ציינו חוקרי קספרסקי.

שרשרת ההדבקה עצמה לא משאירה עקבות על הכונן הקשיח, מכיוון שמרכיביה פועלים בזיכרון בלבד, וכך מתאפשרת תקיפה ללא קבצים, עם טביעת רגל קטנה.

לא ברור מה וקטור ההדבקה של השתל – כלומר, איך מחדירים אותו לקושחה. ההנחה היא שהזיהום מתרחש באמצעות גישה מרחוק למחשב ותקיפה של מנגנוני אבטחה חלשים יחסית.

"קפיצת הירח" של הסינים

חוקרי קספרסקי ייחסו את MoonBounce ל-APT41 – קבוצה מתקדמת ודוברת סינית, שניהלה מבצעי ריגול סייבר ופשעים לפחות מאז 2012. הימצאותן של נוזקות נוספות מרמזות על קשר אפשרי בין APT41 לשחקנים מתקדמים דוברי סינית אחרים, שייתכן שהם חולקים משאבים בדמות אנשי מבצעים או מפתחים משותפים. רשת תוקפים זו מתמקדת במגוון רחב של פעולות, כמו איסוף קבצים ומידע רשתי רגיש. התוקפים משתמשים בשיטת תקיפה כה חמקנית כי הם רוצים להשיג דריסת רגל ממושכת בארגונים הנתקפים ולבצע ריגול לאורך זמן רב.

מארק לחטיק, חוקר אבטחה בכיר במרכז חקר האיומים של קספרסקי, אמר כי "MoonBounce היא הנוזקה המתקדמת ביותר הידועה לנו עד כה נגד קושחותUEFI . הפיכת רכיב ליבה בקושחה למקור הטמעת נוזקות במערכת, תוך פעילות בזיכרון בלבד והימנעות מהשארת עקבות על הכונן הקשיח, הם חידושים שלא נראו בערכות אתחול הקושחות המקבילות בעבר. זה הופך את האיום להרבה יותר חמקני ומתקדם. לא נופתע למצוא השנה ערכות אתחול ונוזקות מתוחכמות זהות".