MoonBounce, il malware che si mimetizza nella memoria flash delle schede madri

I ricercatori di Kaspersky ritengono che MoonBounce sia sfruttato da APT41. Chiamato anche Winnti, è un gruppo di hacker cinesi noto per gli attacchi alle filiere software (CCleaner, Asus) e attivo da almeno un decennio.

Si ritiene che MoonBounce sia l’impianto firmware UEFI “più avanzato” scoperto fino ad oggi, secondo gli analisti della sicurezza. UEFI, per “Unified Extensible Firmware Interface”, è una specifica tecnica che aiuta i sistemi operativi e il firmware a interfacciarsi nei computer. Chiaramente si tratta di un software di basso livello che si avvia non appena l’utente avvia il proprio PC. Sostituisce il BIOS sulle schede madri dei computer dal 2012.

Ma attenzione, gli hacker hanno trovato un modo per impiantare il codice dannoso in questo firmware, il “bootkit UEFI“. Una manipolazione che permette loro di interferire in un PC, sia rimanendo nascosti da antivirus che da qualsiasi strumento di sicurezza operante a livello di sistema operativo.

Per mimetizzarsi, questi strumenti dirottano la sequenza di avvio e si inizializzano prima dei componenti di sicurezza del sistema operativo. Molto spesso nidificano in aree che non possono essere cancellate. Ad esempio, nel caso MoonBounce, la posizione dell’impianto è sulla memoria flash SPI della scheda madre. Una posizione che lo rende invincibile, anche in caso di sostituzione del disco rigido.

In MoonBounce, il codice dannoso è incorporato in un modulo firmware esistente (CORE_DXE). È quindi sottile e difficile da rilevare. Una volta infettato, il sistema è completamente sotto il controllo degli hacker.

Al momento dell’avvio del PC, MoonBounce crea un driver dannoso nello spazio di memoria del kernel di Windows. Un primo passaggio che consente agli hacker di “iniettare” malware nel processo di sistema svchost.exe (Host Process for Windows Services). Cioè, non appena il computer si avvia, MoonBounce è già nidificato ed è in esecuzione in background.

Questi malware si connettono quindi ai server di comando e controllo (C&C) per scaricare e installare altro malware.

Mentre il Dipartimento di Giustizia degli Stati Uniti ha identificato e accusato cinque membri di APT41 nel settembre 2020, l’esistenza di MoonBounce dimostra che i criminali informatici non sono stati scoraggiati da pressioni legali.

Secondo il rapporto Kaspersky, l’organizzazione controlla diverse società attive nel campo delle tecnologie di trasporto. L’obiettivo principale del gruppo di criminali informatici è quello di ottenere un punto d’appoggio permanente nella rete e svolgere azioni di spionaggio informatico filtrando dati preziosi.

I ricercatori di Kaspersky non hanno ancora capito come il malware riesca a influenzare il firmware UEFI. Nel frattempo, il team fornisce alcuni consigli. Gli esperti, infatti, suggeriscono di aggiornare il firmware UEFI direttamente dal produttore e di assicurarsi che BootGuard sia abilitato per verificare che l’integrità del BIOS. Infine, Kaspersky consiglia di utilizzare una soluzione di sicurezza che esegua la scansione del firmware del sistema. Un modo per rilevare problemi e agire se viene rilevato malware UEFI.