Hackers chinos detectados utilizando el nuevo implante de firmware UEFI en ataques dirigidos

MoonBounce apunta al flash SPI, un almacenamiento no volátil externo al disco duro
Un implante de firmware previamente no documentado implementado para mantener la persistencia sigilosa como parte de una campaña de espionaje dirigida se ha vinculado al grupo de amenazas persistentes avanzadas Winnti de habla china (APT41).
Kaspersky, que nombró en código al rootkit MoonBounce, caracterizó el malware como el "implante de firmware UEFI más avanzado descubierto hasta la fecha", agregando que "el propósito del implante es facilitar la implementación de malware en modo de usuario que organiza la ejecución de más cargas útiles descargadas de Internet".
Los rootkits basados en firmware, que alguna vez fueron una rareza en el panorama de las amenazas, se están convirtiendo rápidamente en lucrativas herramientas entre los actores sofisticados para ayudar a lograr un punto de apoyo duradero de una manera que no solo es difícil de detectar, sino también difícil de eliminar.
El primer rootkit a nivel de firmware, denominado LoJax, se descubrió en la naturaleza en 2018. Desde entonces, hasta ahora se han descubierto tres instancias diferentes de malware UEFI, incluidos MosaicRegressor, FinFisher y ESPecter.
MoonBounce es preocupante por varias razones. A diferencia de FinFisher y ESPecter, que apuntan a la partición del sistema EFI (ESP), el rootkit recién descubierto, junto con LoJax y MosaicRegressor, apunta al flash SPI, un almacenamiento no volátil externo al disco duro.
Este malware rootkit altamente persistente se coloca dentro del almacenamiento flash SPI que está soldado a la placa base de una computadora, lo que hace que sea imposible deshacerse de él mediante el reemplazo del disco duro e incluso es resistente a la reinstalación del sistema operativo.
La compañía rusa de ciberseguridad dijo que identificó la presencia del rootkit de firmware en un solo incidente el año pasado, lo que indica la naturaleza altamente dirigida del ataque. Dicho esto, sigue sin estar claro el mecanismo exacto por el cual se infectó el firmware UEFI.
A su sigilo se suma el hecho de que un componente de firmware existente fue manipulado para alterar su comportamiento, en lugar de agregar un nuevo controlador a la imagen, con el objetivo de desviar el flujo de ejecución de la secuencia de arranque a una "cadena de infección" maliciosa que inyecta el malware en modo de usuario durante el inicio del sistema, que luego llega a un servidor remoto codificado para recuperar la carga útil de la siguiente etapa.
"La cadena de infección en sí no deja ningún rastro en el disco duro, ya que sus componentes funcionan solo en la memoria, lo que facilita un ataque sin archivos con una huella pequeña", señalaron los investigadores, agregando que descubrieron otros implantes que no son UEFI en la red objetivo que se comunican con la misma infraestructura que alojaba la carga útil de puesta en escena.
Entre los principales componentes implementados en varios nodos de la red se incluyen una puerta trasera rastreada como ScrambleCross (también conocido como Crosswalk) y una serie de implantes de malware posteriores a la explotación, lo que sugiere que los atacantes realizaron un movimiento lateral después de obtener un acceso inicial para extraer datos de máquinas específicas.
Para contrarrestar dichas modificaciones a nivel de firmware, se recomienda actualizar regularmente el firmware UEFI y habilitar protecciones como Boot Guard, Secure boot y Trust Platform Modules (TPM).
"MoonBounce marca una evolución particular en este grupo de amenazas al presentar un flujo de ataque más complicado en comparación con sus predecesores y un mayor nivel de competencia técnica por parte de sus autores, que demuestran una comprensión profunda de los detalles más finos involucrados en el proceso de arranque UEFI", dijeron los investigadores.