Negli ultimi mesi del 2021 sono stati scoperti tre bootkit che possono essere nascosti nel firmware UEFI delle schede madri: FinSpy, ESPecter e MoonBounce. Il funzionamento di quest’ultimo è stato descritto dagli esperti di Kaspersky. In seguito all’analisi del codice, la software house russa ha attribuito gli attacchi al gruppo cinese APT41.
MoonBounce: sofisticato bootkit UEFI
Un bootkit UEFI, installato nella memoria flash SPI della scheda madre, intercetta il flusso di esecuzione della sequenza di boot, consentendo di eseguire malware scaricati da server remoti. Il bootkit è quindi persistente (non basta formattare o rimuovere il disco) ed è difficile da rilevare con gli antivirus. MoonBounce è stato scoperto da Kasperky perché nei suoi prodotti è incluso il tool Firmware Scanner che può effettuare la scansione del firmware UEFI.
Il bootkit, nascosto nel componente CORE_DXE del firmware, intercetta l’esecuzione di tre funzioni della EFI Boot Services Table e dirotta il flusso verso il codice infetto aggiunto all’immagine CORE_DXE. La catena di infezione prosegue quindi nel loader Windows e nel kernel Windows. Un driver inietta il malware nel processo svchost.exe
e scarica lo stadio successivo del payload da un server C&C (command and control).
Il bootkit non lascia tracce perché i componenti operano solo in memoria. Kaspersky non ha scoperto come viene copiato nel firmware UEFI, ma sicuramente tramite accesso remoto. L’obiettivo degli attacchi è raccogliere informazioni sulle reti aziendali e rubare file riservati. Si tratta quindi di un’attività di cyberspionaggio.
Secondo i ricercatori di Kaspersky, gli autori appartengono al gruppo cinese APT41, noto anche come Winnti. Per ridurre al minimo i rischi è sempre consigliato l’aggiornamento del firmware UEFI. Inoltre devono essere attivati SecureBoot, BootGuard e TPM.