Στις 20 Ιανουαρίου ερευνητές της Kaspersky είπαν ότι στα τέλη του περασμένου έτους, ανακάλυψαν μια περίπτωση παραβίασης του Unified Extensible Firmware Interface (UEFI) που προκλήθηκε από την τροποποίηση ενός συστατικού στο firmware – ένα βασικό στοιχείο που ονομάζεται SPI flash, που βρίσκεται στη μητρική πλακέτα. Η Kasperskyλέει ότι το firmware φαίνεται να τροποποιήθηκε/αναβαθμίστηκε από τους εισβολείς με τρόπο που τους επέτρεψε να παρεμποδίσουν την αρχική ροή εκτέλεσης της ακολουθίας εκκίνησης του μηχανήματος και να εισάγουν μια εξελιγμένη αλυσίδα μόλυνσης που λειτουργεί μόνο στη μνήμη και έτσι δεν υπάρχουν ίχνη στον σκληρό δίσκο. (fileless επίθεση). Η προσαρμογή του στο firmware κάνει εξαιρετικά δύσκολη την αφάιρεσή του.
Η Kaspersky μέχρι στιγμής δεν μπόρεσε να λάβει δείγμα ούτε ανακάλυψε πώς έγινε η αρχική μόλυνση – αν και εικάζεται ότι η μόλυνση επιτεύχθηκε εξ αποστάσεως. Ωστόσο, βρέθηκαν non-UEFI implants στο στοχευμένο δίκτυο, συμπεριλαμβανομένου του malware ScrambleCross/SideWalk, το οποίο επικοινωνούσε με την ίδια υποδομή που χρησιμοποιούσαν οι εισβολείς. Μέσω της ανάλυσης αυτής της δραστηριότητας έγινε δυνατός ο εντοπισμός. Το MoonBounce πιστεύεται ότι είναι έργο της APT41, μιας κινεζικής εξελιγμένης ομάδας hacking, γνωστής και ως Winnti ή Double Dragon. Από όσο γνωρίζει η Kaspersky, η APT41 είναι πίσω από την εισβολή.
Η APT είναι μια κρατική ομάδα που είναι υπεύθυνη για εκτεταμένες επιθέσεις κατά του τομέα της πληροφορικής, των εταιρειών κοινωνικής δικτύωσης, των τηλεπικοινωνιών, των μη κερδοσκοπικών οργανισμών και της υγειονομικής περίθαλψης. Τον Σεπτέμβριο του 2020, το Υπουργείο Δικαιοσύνης των ΗΠΑ (DoJ) κατέθεσε κατηγορίες εναντίον πέντε ύποπτων μελών της APT41.
Όσον αφορά τα θύματα, η Kaspersky ανέφερε ως στόχο έναν οργανισμό που ελέγχει πολλές επιχειρήσεις που ασχολούνται με τεχνολογία μεταφορών”.
https://www.secnews.gr/387685/kineziki-omada-implant-moonbounce-firmware-uefi/
ΣΧΕΤΙΚΟ: https://www.secnews.gr/387450/cisa-se-organismous-ipa-proetoimasteite-data-wiping-epitheseis/
Read Also:
Η Kaspersky μέχρι στιγμής δεν μπόρεσε να λάβει δείγμα ούτε ανακάλυψε πώς έγινε η αρχική μόλυνση – αν και εικάζεται ότι η μόλυνση επιτεύχθηκε εξ αποστάσεως. Ωστόσο, βρέθηκαν non-UEFI implants στο στοχευμένο δίκτυο, συμπεριλαμβανομένου του malware ScrambleCross/SideWalk, το οποίο επικοινωνούσε με την ίδια υποδομή που χρησιμοποιούσαν οι εισβολείς. Μέσω της ανάλυσης αυτής της δραστηριότητας έγινε δυνατός ο εντοπισμός. Το MoonBounce πιστεύεται ότι είναι έργο της APT41, μιας κινεζικής εξελιγμένης ομάδας hacking, γνωστής και ως Winnti ή Double Dragon. Από όσο γνωρίζει η Kaspersky, η APT41 είναι πίσω από την εισβολή.
Η APT είναι μια κρατική ομάδα που είναι υπεύθυνη για εκτεταμένες επιθέσεις κατά του τομέα της πληροφορικής, των εταιρειών κοινωνικής δικτύωσης, των τηλεπικοινωνιών, των μη κερδοσκοπικών οργανισμών και της υγειονομικής περίθαλψης. Τον Σεπτέμβριο του 2020, το Υπουργείο Δικαιοσύνης των ΗΠΑ (DoJ) κατέθεσε κατηγορίες εναντίον πέντε ύποπτων μελών της APT41.
Όσον αφορά τα θύματα, η Kaspersky ανέφερε ως στόχο έναν οργανισμό που ελέγχει πολλές επιχειρήσεις που ασχολούνται με τεχνολογία μεταφορών”.
https://www.secnews.gr/387685/kineziki-omada-implant-moonbounce-firmware-uefi/
ΣΧΕΤΙΚΟ: https://www.secnews.gr/387450/cisa-se-organismous-ipa-proetoimasteite-data-wiping-epitheseis/
Read Also:
No comments :
Post a Comment