Keeawayt
- Turvatutkijat ovat löytäneet ainutlaatuisen haittaohjelman, joka saastuttaa emolevyn flash-muistin.
- Haittaohjelmaa on vaikea poistaa, eivätkä tutkijat vielä ymmärrä, miten se ylipäätään pääsee tietokoneeseen.
-
Bootkit-haittaohjelmat kehittyvät edelleen, varoittaa tutkijoita.
Tietokoneen desinfiointi vaatii jonkin verran tekemistä. Uusi haittaohjelma tekee tehtävästä entistä hankalamman, koska tietoturvatutkijat ovat havainneet, että se uppoaa niin syvälle tietokoneeseen, että joudut luultavasti irrottamaan emolevystä päästäksesi eroon.
Haittaohjelma, jota kutsuttiin teknisesti käynnistyssarjaksi, kulkee kiintolevyn ulkopuolelle ja tunkeutuu tietokoneen Unified Extensible Firmware Interface (UEFI) -käynnistyslaiteohjelmistoon, jonka Kasperskyn tietoturvatutkijat kutsuivat MoonBounceksi.
"Hyökkäys on erittäin hienostunut", SafeBreachin turvallisuustutkimuksen johtaja Tomer Bar kertoi Lifewirelle sähköpostitse. "Kun uhri on saanut tartunnan, se on erittäin pysyvä, koska edes kiintolevyn muoto ei auta."
Romaanin uhka
Bootkit-haittaohjelmat ovat harvinaisia, mutta eivät täysin uusia, sillä Kaspersky itse on löytänyt kaksi muuta viimeisten parin vuoden aikana. MoonBouncesta ainutlaatuisen tekee kuitenkin se, että se saastuttaa emolevyn flash-muistin, mikä tekee siitä läpäisemättömän virustorjuntaohjelmistoille ja kaikille muille tavallisille haittaohjelmien poistokeinoille.
Itse asiassa Kaspersky-tutkijat huomauttavat, että käyttäjät voivat asentaa käyttöjärjestelmän uudelleen ja vaihtaa kiintolevyn, mutta käynnistyspaketti pysyy edelleen tartunnan saaneessa tietokoneessa, kunnes käyttäjät joko päivittävät tartunnan saaneen flash-muistin uudelleen. "hyvin monimutkainen prosessi" tai vaihda emolevy kokonaan.
Haittaohjelmasta tekee vieläkin vaarallisemman, Bar lisäsi, että haittaohjelma on tiedostoton, mikä tarkoittaa, että se ei luota tiedostoihin, joista virustorjuntaohjelmat voivat ilmoittaa, eikä jätä näkyvää jalanjälkeä tartunnan saaneeseen tietokoneeseen, mikä tekee siitä erittäin vaikea jäljittää.
Haittaohjelma-analyysinsä perusteella Kasperskyn tutkijat huomauttavat, että MoonBounce on ensimmäinen askel monivaiheisessa hyökkäyksessä. MoonBouncen takana olevat rikolliset toimijat käyttävät haittaohjelmia saadakseen jalansijaa uhrin tietokoneelle, jota voidaan sitten käyttää lisäuhkiin tietojen varastamiseksi tai kiristysohjelmien käyttöönottamiseksi.
Pelastavaa on kuitenkin se, että tutkijat ovat löytäneet tähän mennessä vain yhden haittaohjelman esiintymän. "Se on kuitenkin erittäin hienostunut koodisarja, mikä on huolestuttavaa; jos ei muuta, se ennustaa muiden, kehittyneiden haittaohjelmien todennäköisyyttä tulevaisuudessa", Tim Helming, DomainToolsin turvallisuusevankelista, varoitti Lifewirea sähköpostitse.
Therese Schachner, VPNBrainsin kyberturvallisuuskonsultti, oli samaa mieltä. "Koska MoonBounce on erityisen vaivalloinen, on mahdollista, että on muitakin MoonBounce-hyökkäyksiä, joita ei ole vielä löydetty."
Inokuloi tietokoneesi
Tutkijat huomauttavat, että haittaohjelma havaittiin vain siksi, että hyökkääjät tekivät sen virheen, että he käyttivät samoja viestintäpalvelimia (teknisesti komento- ja ohjauspalvelimia) kuin muita tunnettuja haittaohjelmia.
Helming lisäsi kuitenkin, että koska ei ole selvää, miten alkuperäinen tartunta tapahtuu, on käytännössä mahdotonta antaa hyvin tarkkoja ohjeita tartunnan välttämiseksi. Hyväksi hyväksyttyjen suojauskäytäntöjen noudattaminen on kuitenkin hyvä alku.
"Samalla kun haittaohjelmat kehittyvät, peruskäyttäytymiset, joita keskivertokäyttäjän tulisi välttää suojatakseen itsensä, eivät ole oikeastaan muuttuneet. Ohjelmistojen, erityisesti tietoturvaohjelmistojen, ajan tasalla pitäminen on tärkeää. Epäilyttävien linkkien klikkaamisen välttäminen on edelleen hyvä strategia", Tim Erlin, Tripwiren strategiajohtaja, ehdotti Lifewirelle sähköpostitse.
… on mahdollista, että on olemassa muita MoonBounce-hyökkäyksiä, joita ei ole vielä löydetty.
Lisäksi tähän ehdotukseen Stephen Gates, Checkmarxin turvallisuusevankelisti, kertoi Lifewirelle sähköpostitse, että keskivertotyöpöytäkäyttäjän on mentävä pidemmälle kuin perinteiset virustorjuntatyökalut, jotka eivät voi estää tiedostottomia hyökkäyksiä, kuten MoonBounce.
"Etsi työkaluja, jotka voivat hyödyntää komentosarjojen hallintaa ja muistisuojausta, ja yritä käyttää sovelluksia sellaisista organisaatioista, jotka käyttävät turvallisia ja nykyaikaisia sovelluskehitysmenetelmiä pinon alareunasta alkuun", Gates ehdotti.
Bar puolestaan kannatti SecureBootin ja TPM:n k altaisten teknologioiden käyttöä sen varmistamiseksi, että käynnistysohjelmistoa ei ole muokattu tehokkaana lieventämistekniikkana bootkit-haittaohjelmia vastaan.
Schachner ehdotti samalla tavalla, että UEFI-laiteohjelmistopäivitysten asentaminen niiden julkaisuhetkellä auttaa käyttäjiä sisällyttämään tietoturvakorjauksia, jotka suojaavat tietokoneitaan paremmin uusilta uhilta, kuten MoonBounce.
Lisäksi hän suositteli myös sellaisten suojausalustojen käyttöä, jotka sisältävät laiteohjelmiston uhkien havaitsemisen. "Näiden tietoturvaratkaisujen avulla käyttäjät saavat tiedon mahdollisista laiteohjelmistouhkista mahdollisimman pian, jotta niihin voidaan puuttua ajoissa ennen kuin uhat eskaloituvat."
