Kaspersky’den siber güvenlik araştırmacıları, antivirüs veya sabit disk biçimlendirme veya değiştirme gibi en uç önlemlerle bile kaldırılamayan nadir bir kötü amaçlı yazılım türü keşfetti.
Bunun nedeni, MoonBounce adlı kötü amaçlı yazılımın sabit sürücünün kendisinde değil, anakartta bulunan SPI kusurları belleğinde bulunmasıdır.
Bu tür kötü amaçlı yazılımlara bootkit adı verilir ve şurada açıklandığı gibi Kayıt, ancak “çok karmaşık bir süreç” olarak tanımladığı SPI belleğinin yeniden yanıp sönmesiyle kaldırılabilir. Diğer çözüm ise anakartı tamamen değiştirmek olacaktır.
Çin yine saldırdı
MoonBounce, çok aşamalı bir saldırıda birinci aşama kötü amaçlı yazılım olarak tasarlanmıştır. Kötü niyetli aktörler, bunu ya güvenliği ihlal edilmiş cihazların kapılarını açık tutmak ya da daha sonra veri toplayıcılar, kod yürütücüler, fidye yazılımı vb. olarak hizmet edebilecek ikinci aşama kötü amaçlı yazılımları dağıtmak için kullanır.
Kaspersky, şimdiye kadar, bir ulaşım hizmetleri şirketine ait bir cihazda MoonBounce’ın yalnızca bir örneğinin keşfedildiğini söylüyor. Araştırmacılar ayrıca MoonBounce’ın Çinli yetkililerle bağları olan, tanınmış, devlet destekli bir siber suç grubu olan APT41’in eseri olduğu izlenimi altındalar.
Araştırmacılar, hem MoonBounce’ın hem de cihazda bulunan ikinci aşama kötü amaçlı yazılımın, APT41’in talimatlarını verdiği aynı sunucu altyapısıyla iletişim kurduğunu belirtiyor.
Kaspersky, MoonBounce’ın güvenliği ihlal edilmiş cihazda nasıl başladığını hala bilmiyor.
“Bu ve benzeri saldırılara karşı bir güvenlik önlemi olarak, UEFI bellenimini düzenli olarak güncellemeniz ve uygun olduğunda BootGuard’ın etkinleştirildiğini doğrulamanız önerilir. Benzer şekilde, makinede karşılık gelen bir donanımın desteklenmesi durumunda Trust Platform Modüllerinin etkinleştirilmesi de tavsiye edilir, ”dedi Kaspersky ekibi.
MoonBounce bir UEFI önyükleme setidir (Birleşik Genişletilebilir Ürün Yazılımı Arayüzü) ve Kaspersky’nin son zamanlarda LoJax ve MosaicRegressor’dan sonra bulduğu üçüncüdür. Son aylarda, araştırmacılar, ESPectre veya FinSpy’ın UEFI önyükleme seti dahil The Record hatırlatıyor, birden fazla UEFI önyükleme seti buldular.
- Şu anda en iyi güvenlik duvarları listemize de göz atmak isteyebilirsiniz.
Üzerinden: Kayıt
