חוקרי חברת הסייבר הבינלאומית קספרסקי, וביניהם חוקר ישראלי, חשפו מקרה שלישי של נוזקה מסוג ערכת אתחול קושחה (Firmware bootkit) שאותרה במחשב נגוע ולא הייתה מוכרת קודם לכן. השתל הזדוני, שזכה לכינוי MoonBounce, מסתתר בקושחת UEFI (Unified Extensible Firmware Interface) – רכיב תוכנה חיוני המשמש את המחשב לשם תהליך האתחול שלו וממוקם על זיכרון פלאש שהוא חיצוני לכונן הקשיח. שתלים שכאלה קשים מאוד לאיתור ולהסרה ופתרונות אבטחת מידע מתקשים לזהות אותם. החוקרים מסבירים כי השתל הנוכחי מתוחכם משמעותית ביחס לשתלי UEFI עליהם דווח בעבר וסבורים כי האחראית להטמעתו, היא קבוצת תקיפה ידועה ומתקדמת הקרויה APT41 ושהוא משמש ככל הנראה לצורכי ריגול.
קושחת UEFI היא מרכיב קריטי ברוב המכריע של מחשבים. הקוד שלה אחראי לביצוע האיתחולים הנדרשים לשם טעינה והעברת השליטה למערכת ההפעלה בזמן עליית המחשב. קוד זה מצוי על גבי רכיב זיכרון פלאש הממוקם על לוח האם – כלומר מדובר בשטח אחסון שהינו חיצוני לדיסק הקשיח. כאשר קושחה כזו מכילה קוד זדוני, הוא יופעל לפני שמערכת ההפעלה "עולה", מה שמקשה מאוד על הסרתו; לא ניתן להתמודד עם איומים המוטמעים במחשב כתוצאה מריצת הקוד הזדוני בקושחה על ידי פירמוט מחדש של הכונן הקשיח או התקנה מחדש של מערכת הפעלה, שכן אלה יחזרו לפעול כל עוד הקושחה נגועה. יתרה מכך, מכיוון שהקוד ממוקם מחוץ לכונן הקשיח, פעילותו כמעט לא מזוהה על ידי רוב פתרונות האבטחה, אלא אם יש להם יישומים שסוקרים באופן ספציפי את התקן הפלאש עליו מצויה הקושחה.
MoonBounce היא, כאמור, הנוזקה השלישית שידועה באופן פומבי אשר אותרה בקושחת UEFI ושל מחשב נגוע. היא התגלתה לראשונה באביב 2021 כשהחוקרים בחנו את הפעילות של סורק הקושחה שלהם, שפותח במיוחד כדי לזהות איומים שמסתתרים בROM BIOS-. החוקרים אומרים כי בהשוואה לשתי ערכות אתחול קושחה דומות שהתגלו בעבר שזכו לכינויים LoJax ו- MosaicRegressor (שגם היא התגלתה על ידי חברת קספרסקי) הגרסה הנוכחית מציגה תחכום טכני רב יותר.
השתל מוטמע ברכיב של הקושחה הקרוי CORE_DXE, שרץ מוקדם יחסית במהלך רצף האתחול של UEFI. בעת ריצת הרכיב, ודרך סדרה של פעולות על זיכרון המחשב, רכיבי השתל עושים את דרכם לתוך מערכת ההפעלה, ומשם מתקשרים עם שרת פיקוד ובקרה (C2) על מנת לאחזר רכיבי תוכנה זדונית נוספים (אותם החוקרים לא הצליחו לאחזר). שרשרת ההדבקה עצמה אינה משאירה עקבות על הכונן הקשיח מכיוון שמרכיביה פועלים בזיכרון בלבד, וכך למעשה מאפשרת תקיפה ללא קבצים עם טביעת רגל קטנה.
מניתוח של עמדות נוספות ברשת בה הוטמע MoonBounce הצליחו החוקרים לאתר רכיבי תוכנה זדוניים המקושרים אליו על ידי שימוש בשרתי פיקוד ובקרה משותפים. ביניהם ScrambleCross או Sidewalk המיועדים למסירת מידע על המחשב הנתקף לשרתי התוקפים וטעינת קוד זדוני נוסף, Mimikat_ssp שהוא כלי זמין לציבור שאוסף שמות משתמש, סיסמאות ומידע אישי, דלת אחורית מבוססת Golang שלא הייתה ידועה בעבר ונוזקה בשם Microcinשמזוהה עם קבוצת תקיפה מתקדמת ודוברת סינית נוספת הקרויה SixLittleMonkeys ומשמשת לשם שליטה מרחוק במחשבים המותקפים.
נכון לעכשיו לא ברור מה וקטור ההדבקה של השתל – כלומר איך מחדירים אותו לקושחה. ההנחה היא שהזיהום מתרחש באמצעות גישה מרחוק למחשב ותקיפה של מנגנוני אבטחה חלשים יחסית שמיועדים למנוע כתיבה להתקן הפלאש עליו מצויה הקושחה. בנוסף, בעוד ש-LoJax ו- MosaicRegressor- ערכות האיתחול הקודמות – "הרחיבו" את הקושחות הנגועות בהן במנהלי התקנים זדוניים שהיו ניכרים כרכיבים זרים וחשודים, הערכה הנוכחית משולבת בתוך רכיב קושחה קיים ומופעלת על ידי החדרת שינויים זעירים בקוד, כאלה שקשה מאוד לאתר ומאפשרים לנוזקה לחמוק מתחת לרדאר.
חוקרי קספרסקי ייחסו את MoonBounce לקבוצת התקיפה APT41, קבוצה מתקדמת ודוברת סינית על פי מקורות שונים, שניהלה מבצעי ריגול סייבר ופשעים ברחבי העולם מאז 2012 לפחות. הקישור נעשה נוכח קיומם של חלק מהתוכנות הזדוניות שהוזכרו (ScrambleCross ו-Sidewalk), כתוכנות הידועות ככאלה המשמשות באופן ייחודי על ידי הקבוצה המדוברת. בנוסף, המצאותן של נוזקות נוספות, כדוגמת Microcin, מרמזות על קשר אפשרי בין APT41 לבין שחקנים מתקדמים אחרים דוברי סינית, שייתכן כי חולקים משאבים בדמות אנשי מבצעים או מפתחים משותפים
רשת תוקפים זו מתמקדת במגוון רחב של פעולות כמו איסוף קבצים ומידע רשתי רגיש. פקודות ששימשו את התוקפים במהלך פעילותם במקרה זה ומקרים קודמים מצביעות על כך שהם מעוניינים להתפשט על פני עמדות שונות בארגון, לעיתים בעלות גישה למידעים חסויים, ואחזורם לשרתים חיצוניים בשליטת התוקפים. המסקנה של החוקרים מהשימוש בשיטת תקיפה כה חמקנית היא שהמניע של התוקפים הוא יצירת דריסת רגל ממושכת בארגונים הנתקפים וריגול לאורך זמן רב אחר יעדי התקיפה בהם.
ערכת אתחול הקושחה נמצאה אמנם רק במקרה בודד עד כה, אך דגימות זדוניות קשורות אחרות, שכאמור מתקשרות עם אותם שרתי שליטה ובקרה כדוגמת ScrambleCross , נמצאו ברשתות של כמה קורבנות אחרים. לא מן הנמנע כי קיימים מקרים נוספים בעולם של השתל הנוכחי ואחרים שטרם אותרו ונותחו.
"למרות שאנו יכולים לחבר את שתלי התוכנות הזדוניות הנוספים שנמצאו במהלך המחקר שלנו (ומקושרים לקבוצות תקיפה דוברות סינית) אל MoonBounce רק ברמת סבירות גבוהה, התמונה המצטיירת ממחקר זה ואחרים היא כי שחקנים מתקדמים ודוברי סינית חולקים כלים אלה עם אלה כדי לסייע בביצוע מבצעי תקיפה שונים", אמר דניס לגזו (Denis Legezo), חוקר אבטחה בכיר בצוות המחקר והניתוח העולמי של קספרסקי (GReAT).
"MoonBounce היא הנוזקה המתקדמת ביותר הידועה לנו עד כה כנגד קושחות UEFI. הפיכת רכיב ליבה בקושחה למקור הטמעת תוכנות זדוניות במערכת, תוך פעילות בזיכרון בלבד והמנעות מהשארת עקבות על הכונן הקשיח, הם חידושים שלא נראו בערכות אתחול הקושחה המקבילות בעבר והופכים את האיום להרבה יותר חמקני ומתקדם. חזינו עוד ב-2018 שמשטחי התקיפה הקיימים בטכנולוגיות הקשורות לUEFI ינוצלו על ידי תוקפים בהיקף גובר והולך, ונראה שמגמה זו אכן מתממשת. על כן, לא נופתע למצוא ערכות אתחול ונוזקות מתוחכמות זהות גם בשנת 2022. למרבה המזל, ישנם ספקים שכבר החלו לייחס משמעות להתקפות כנגד קושחות, ומאפשרים שימוש בטכנולוגיות אבטחת כדוגמת BootGuard וTPM, שיכלו להיות אפקטיביות להגנה במקרה הנתון", אמר מארק לחטיק (Mark Lechtik), חוקר אבטחה בכיר ב-GReAT.
