Kľúčové poznatky
- Bezpečnostní výskumníci objavili jedinečný malvér, ktorý infikuje flash pamäť na základnej doske.
- Odstránenie škodlivého softvéru je náročné a výskumníci ešte nechápu, ako sa vôbec dostal do počítača.
-
Bootkit malvér sa bude naďalej vyvíjať, varujú výskumníci.
Dezinfekcia počítača si vyžaduje určitú prácu tak, ako je. Nový malvér robí túto úlohu ešte ťažkopádnejšou, pretože bezpečnostní výskumníci zistili, že je vložený tak hlboko do počítača, že pravdepodobne budete musieť zahodiť základnú dosku, aby ste sa ho zbavili.
Bezpečnostní detektívi z Kaspersky, ktorí ho objavili, nazvali MoonBounce, malvér, odborne nazývaný bootkit, prenikne za pevný disk a zahrabe sa do zavádzacieho firmvéru počítača Unified Extensible Firmware Interface (UEFI).
"Útok je veľmi sofistikovaný," povedal Lifewire e-mailom Tomer Bar, riaditeľ výskumu bezpečnosti v SafeBreach. "Akonáhle je obeť infikovaná, je veľmi perzistentná, pretože ani formát pevného disku nepomôže."
Nová hrozba
Bootkit malvér je zriedkavý, ale nie úplne nový, pričom samotná spoločnosť Kaspersky objavila v posledných rokoch dva ďalšie. Čo však robí MoonBounce jedinečným, je to, že infikuje flash pamäť umiestnenú na základnej doske, čím je odolná voči antivírusovému softvéru a všetkým ostatným bežným prostriedkom na odstránenie škodlivého softvéru.
V skutočnosti výskumníci spoločnosti Kaspersky poznamenávajú, že používatelia môžu preinštalovať operačný systém a vymeniť pevný disk, ale bootkit zostane na infikovanom počítači, kým používatelia znova neflashujú infikovanú pamäť flash, ako to popisujú ako „veľmi zložitý proces“alebo úplne vymeniť základnú dosku.
Čo robí malvér ešte nebezpečnejším, dodal Bar, je to, že malvér je bez súborov, čo znamená, že sa nespolieha na súbory, ktoré môžu antivírusové programy označiť, a nezanecháva na infikovanom počítači žiadnu viditeľnú stopu, takže je veľmi ťažké vystopovať.
Na základe analýzy malvéru výskumníci Kaspersky poznamenávajú, že MoonBounce je prvým krokom vo viacstupňovom útoku. Nečestní herci stojaci za MoonBounce používajú malvér na vytvorenie oporu v počítači obete, ktorý potom môžu použiť na nasadenie ďalších hrozieb na krádež údajov alebo nasadenie ransomvéru.
Spásou však je, že výskumníci doteraz našli iba jeden výskyt malvéru. „Je to však veľmi sofistikovaná sada kódu, čo znepokojuje; ak už nič iné, ohlasuje pravdepodobnosť ďalšieho pokročilého malvéru v budúcnosti,“varoval Tim Helming, bezpečnostný evanjelizátor z DomainTools, e-mailom Lifewire.
Therese Schachner, konzultantka pre kybernetickú bezpečnosť vo VPNBrains súhlasila. „Keďže MoonBounce je obzvlášť tajný, je možné, že existujú ďalšie prípady útokov MoonBounce, ktoré ešte neboli objavené.“
Naočkujte svoj počítač
Výskumníci poznamenávajú, že malvér bol zistený len preto, že útočníci urobili chybu, keď použili rovnaké komunikačné servery (technicky známe ako príkazové a riadiace servery) ako iný známy malvér.
Helming však dodal, že keďže nie je zrejmé, ako prebieha počiatočná infekcia, je prakticky nemožné poskytnúť veľmi konkrétne pokyny, ako sa infikovaniu vyhnúť. Dodržiavanie osvedčených bezpečnostných postupov je však dobrý začiatok.
Zatiaľ čo samotný malvér napreduje, základné správanie, ktorému by sa mal priemerný používateľ vyhnúť, aby sa ochránil, sa v skutočnosti nezmenilo. Udržiavanie softvéru, najmä bezpečnostného, je dôležité. Vyhýbanie sa klikaniu na podozrivé odkazy zostáva dobrou stratégiou,“navrhol Tim Erlin, viceprezident pre stratégiu v Tripwire, Lifewire e-mailom.
… je možné, že existujú ďalšie prípady útokov MoonBounce, ktoré ešte neboli objavené.
Dodatok k tomuto návrhu Stephen Gates, bezpečnostný evanjelista v Checkmarx, povedal Lifewire e-mailom, že priemerný používateľ počítača musí ísť nad rámec tradičných antivírusových nástrojov, ktoré nedokážu zabrániť útokom bez súborov, ako je MoonBounce.
"Vyhľadajte nástroje, ktoré dokážu využiť riadenie skriptov a ochranu pamäte, a skúste použiť aplikácie od organizácií, ktoré využívajú bezpečné, moderné metodológie vývoja aplikácií, od spodku zásobníka po vrch," navrhol Gates.
Bar na druhej strane obhajoval používanie technológií, ako sú SecureBoot a TPM, na overenie toho, že firmvér zavádzania nebol upravený, ako efektívnu techniku na zmiernenie malvéru bootkit.
Schachner podobným spôsobom navrhol, že inštalácia aktualizácií firmvéru UEFI hneď po ich vydaní pomôže používateľom začleniť opravy zabezpečenia, ktoré lepšie ochránia ich počítače pred novými hrozbami, ako je MoonBounce.
Okrem toho tiež odporučila používať bezpečnostné platformy, ktoré zahŕňajú detekciu hrozieb firmvéru. „Tieto bezpečnostné riešenia umožňujú používateľom byť čo najskôr informovaní o potenciálnych hrozbách firmvéru, aby ich bolo možné riešiť včas ešte pred eskaláciou hrozieb.“