Los investigadores de Kaspersky han descubierto el tercer caso de un bootkit de firmware “in the wild”. Bautizado como MoonBounce, este implante malicioso se esconde dentro del firmware de la UEFI de los equipos, una parte esencial de los ordenadores, dentro de las tarjetas flash SPI, un componente de almacenamiento externo al disco duro. Este tipo de implantes resultan realmente difíciles de eliminar y tienen una visibilidad limitada para los productos de seguridad. MoonBounce, que se detectó por primera vez en su estado “in the wild” en la primavera de 2021, ha mostrado un flujo de ataque realmente sofisticado, con un evidente avance en comparación con los anteriores bootkits de firmware UEFI conocidos. La campaña ha sido atribuida con bastante fiabilidad al conocido actor de amenazas persistentes avanzadas (APT) APT41.
El firmware UEFI es un componente crítico en la gran mayoría de las máquinas; su código es responsable de arrancar el dispositivo y pasar el control al software que carga el sistema operativo. Este código descansa en lo que se llama SPI flash, un dispositivo de almacenamiento externo al disco duro. Si este firmware contiene código malicioso, se podrá lanzar antes que el sistema operativo, lo que le hará especialmente difícil de eliminar; ya que no se puede borrar simplemente reformateando un disco duro o reinstalando el sistema operativo. Además, como el código se encuentra fuera del disco duro, la actividad de estos bootkits pasa prácticamente desapercibida para la mayoría de las soluciones de seguridad, a menos que tengan una función que analice específicamente esta parte del dispositivo.
MoonBounce es el tercer bootkit UEFI encontrado “in the wild”. Apareció en la primavera de 2021 y fue descubierto por primera vez por los investigadores de Kaspersky al observar la actividad del escáner de firmware, una funcionalidad incluida en los productos de Kaspersky desde principios de 2019 para detectar específicamente las amenazas que se esconden en la BIOS de la ROM, incluidas las imágenes de firmware UEFI. Cuando se compara con los dos bootkits descubiertos anteriormente, LoJax y MosaicRegressor, MoonBounce demuestra un avance significativo con un flujo de ataque más complejo y una mayor sofisticación técnica.
El implante descansa en el componente CORE_DXE del firmware, al que se recurre en una fase temprana de la secuencia de arranque UEFI. A continuación, a través de una serie de ganchos que interceptan ciertas funciones, los componentes del implante se abren paso en el sistema operativo, donde se comunican con un servidor de comando y control con el fin de recuperar cargas útiles maliciosas adicionales, que los investigadores de Kaspersky no pudieron recobrar. Es clave destacar que esta cadena de infección no deja rastro en el disco duro, ya que sus componentes solo operan en la memoria, lo que permite un ataque sin archivo con una huella realmente pequeña.
Mientras investigaban MoonBounce, los expertos de Kaspersky descubrieron varios cargadores maliciosos y malware posterior a la explotación en varios nodos de la misma red. Esto incluye ScrambleCross o Sidewalk, un implante en memoria que puede comunicarse con un servidor C2 para intercambiar información y ejecutar complementos adicionales, Mimikat_ssp, una herramienta de post-explotación disponible públicamente que se utiliza para volcar credenciales y secretos de seguridad, un backdoor basado en Golang anteriormente desconocido, y Microcin, un malware que suele utilizar el actor de amenazas SixLittleMonkeys. Podría ser que MoonBounce descargue estas piezas de malware o que una infección previa por una de estas piezas de malware sirva para comprometer la máquina de modo que MoonBounce pueda afianzarse en la red. Otro posible método de infección de MoonBounce sería que la máquina se viera comprometida antes de ser entregada a la empresa objetivo. En cualquiera de los casos, se considera que la infección se produce a través del acceso remoto a la máquina objetivo. Además, mientras que LoJax y MosaicRegressor utilizaron adiciones de controladores DXE, MoonBounce modifica un componente de firmware existente para llevar a cabo un ataque más sutil y sigiloso.
En la campaña general contra la red en cuestión, era evidente que los atacantes llevaban a cabo una amplia gama de acciones, como el archivado de ficheros y la recopilación de información de la red. Los comandos utilizados por los atacantes a lo largo de su actividad sugieren que estaban interesados en el movimiento lateral y la exfiltración de datos y, dado que se utilizó un implante UEFI, es probable que los atacantes estuvieran interesados en llevar a cabo una actividad de espionaje.
Kaspersky ha atribuido MoonBounce con bastante fiabilidad a APT41, que ha sido ampliamente reportado como un actor de amenazas de habla china que ha llevado a cabo campañas de ciberespionaje y cibercrimen en todo el mundo desde al menos 2012. Además, la existencia de algunos de los malware mencionados en la misma red sugiere una posible conexión entre APT41 y otros actores de amenazas de habla china.
Hasta ahora, el bootkit de firmware solo se ha encontrado en una máquina para una gran sociedad del sector de alta tecnología; sin embargo, otras muestras maliciosas relacionadas (por ejemplo, ScrambleCross y sus cargadores) se han encontrado en las redes de otras víctimas.
"Aunque no podemos relacionar definitivamente los implantes de malware adicionales encontrados durante nuestra investigación con MoonBounce específicamente, parece que algunos actores de amenazas de habla china están compartiendo herramientas entre sí para ayudarse en sus diversas campañas; especialmente parece haber una conexión de baja confianza entre MoonBounce y Microcin", añade Denis Legezo, investigador de seguridad senior de GReAT.
"Quizás lo más importante es que este último bootkit UEFI muestra notables avances en comparación con MosaicRegressor, del que informamos en 2020.El hecho de transformar un componente central previamente benigno en el firmware a uno que puede facilitar el despliegue de malware en el sistema es una innovación que no se ha visto en anteriores bootkits de firmware “in the wild” y hace que la amenaza sea mucho más sigilosa. Ya predijimos en 2018 que las amenazas UEFI ganarían en popularidad, y esta tendencia parece estar materializándose. No nos sorprendería encontrar más bootkits en 2022. Afortunadamente, los proveedores han comenzado a prestar más atención a los ataques al firmware, y se están adoptando gradualmente más tecnologías de seguridad del firmware, como BootGuard y Trusted Platform Modules", comenta Mark Lechtik, investigador de seguridad senior del Equipo de Investigación y Análisis Global (GReAT) de Kaspersky.
El informe completo está disponible en Securelist.
Para estar protegido de los bootkits UEFI como MoonBounce, Kaspersky recomienda:
- Proporcionar a su equipo SOC acceso a la última inteligencia de amenazas (TI). El Portal de Inteligencia de Amenazas de Kaspersky es un punto de acceso único para las TI de la compañía, que proporciona datos de ciberataques y perspectivas recopiladas por Kaspersky durante más de 20 años.
- Para la detección a nivel del endpoint, la investigación y la reparación oportuna de incidentes, implemente soluciones EDR, como Kaspersky Endpoint Detection and Response.
- Utilice un producto robusto de seguridad para endpoints que pueda detectar el uso de firmware, como Kaspersky Endpoint Security for Business.
- Actualice regularmente el firmware UEFI y utilice únicamente firmware de proveedores de confianza.
- Habilite el arranque seguro por defecto, especialmente BootGuard y TPM cuando sea aplicable.
Kaspersky
Kaspersky es una compañía global de ciberseguridad y privacidad digital fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se está continuamente transformando en innovadoras soluciones y servicios de seguridad para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El extenso portfolio de productos de seguridad de la empresa incluye su reputada solución de protección de endpoints, junto con una serie de soluciones y servicios de seguridad especializados para combatir las sofisticadas y cambiantes amenazas digitales. Más de 400 millones de usuarios son protegidos por las tecnologías de Kaspersky y ayudamos a 240.000 clientes corporativos a proteger lo que más les importa. Obtenga más información en www.kaspersky.es
