המטרה-ריגול: התגלתה הנוזקה המתקדמת השלישית מסוגה המסתתרת בקושחת מחשב
מאת:
מערכת Telecom News, 25.1.22, 15:03
השתל הזדוני המתוחכם, שזכה לכינויMoonBounce , מסתתר בקושחת UEFI (Unified Extensible Firmware Interface) - רכיב תוכנה חיוני וקריטי ברוב המחשבים, שמשמש את המחשב לשם תהליך האתחול שלו. נכון לעכשיו לא ברור מה וקטור ההדבקה של השתל. כלומר, איך מחדירים אותו לקושחה. השתל מיוחס לקבוצת התקיפה .APT41
חוקרי חברת הסייבר הבינלאומית קספרסקי, וביניהם חוקר ישראלי, חשפו מקרה שלישי של נוזקה מסוג ערכת אתחול קושחה
(Firmware bootkit) שאותרה במחשב נגוע ולא הייתה מוכרת קודם לכן. השתל הזדוני, שזכה לכינוי
MoonBounce, , מסתתר בקושחת
UEFI (Unified Extensible Firmware Interface) - רכיב תוכנה חיוני המשמש את המחשב לשם תהליך האתחול שלו וממוקם על זיכרון פלאש, שהוא חיצוני לכונן הקשיח.
שתלים כאלה קשים מאוד לאיתור ולהסרה ופתרונות אבטחת מידע מתקשים לזהות אותם. החוקרים מסבירים, שהשתל הנוכחי מתוחכם משמעותית ביחס לשתלי
UEFI עליהם דווח בעבר וסבורים, שהאחראית להטמעתו, היא קבוצת תקיפה ידועה ומתקדמת הקרויה
APT41 ושהוא משמש ככל הנראה לצורכי ריגול
.
קושחת
UEFI היא מרכיב קריטי ברוב המכריע של מחשבים. הקוד שלה אחראי לביצוע האיתחולים הנדרשים לשם טעינה והעברת השליטה למערכת ההפעלה בזמן עליית המחשב. קוד זה מצוי על גבי רכיב זיכרון פלאש הממוקם על לוח האם - כלומר מדובר בשטח אחסון, שהוא חיצוני לדיסק הקשיח.
כאשר קושחה כזו מכילה קוד זדוני, הוא יופעל לפני שמערכת ההפעלה "עולה", מה שמקשה מאוד על הסרתו. לא ניתן להתמודד עם איומים המוטמעים במחשב כתוצאה מריצת הקוד הזדוני בקושחה ע"י פירמוט מחדש של הכונן הקשיח או התקנה מחדש של מערכת הפעלה, שכן אלה יחזרו לפעול כל עוד הקושחה נגועה.
יתרה מכך, מכיוון שהקוד ממוקם מחוץ לכונן הקשיח, פעילותו כמעט לא מזוהה ע"י רוב פתרונות האבטחה, אלא אם יש להם יישומים הסוקרים באופן ספציפי את התקן הפלאש עליו מצויה הקושחה
.
MoonBounce היא, כאמור, הנוזקה השלישית הידועה באופן פומבי, שאותרה בקושחת
UEFI ושל מחשב נגוע. היא התגלתה לראשונה באביב 2021 כשהחוקרים בחנו את הפעילות של סורק הקושחה שלהם, שפותח במיוחד כדי לזהות איומים המסתתרים ב
ROM BIOS-.
חוקרים אומרים, שבהשוואה ל-2 ערכות אתחול קושחה דומות, שהתגלו בעבר, שזכו לכינויים
LoJax ו-
MosaicRegressor(שגם היא התגלתה ע"י חברת קספרסקי) הגרסה הנוכחית מציגה תחכום טכני רב יותר
.
השתל מוטמע ברכיב של הקושחה הקרוי
CORE_DXE , שרץ מוקדם יחסית במהלך רצף האתחול של
UEFI . בעת ריצת הרכיב, ודרך סדרה של פעולות על זיכרון המחשב, רכיבי השתל עושים את דרכם לתוך מערכת ההפעלה, ומשם מתקשרים עם שרת פיקוד ובקרה
(C2) כדי לאחזר רכיבי תוכנה זדונית נוספים (אותם החוקרים לא הצליחו לאחזר). שרשרת ההדבקה עצמה אינה משאירה עקבות על הכונן הקשיח מכיוון שמרכיביה פועלים בזיכרון בלבד. כך, למעשה, מאפשרת תקיפה ללא קבצים עם טביעת רגל קטנה
.
מניתוח של עמדות נוספות ברשת בה הוטמע
MoonBounce הצליחו החוקרים לאתר רכיבי תוכנה זדוניים המקושרים אליו ע"י שימוש בשרתי פיקוד ובקרה משותפים, ביניהם
ScrambleCross או
Sidewalk המיועדים למסירת מידע על המחשב הנתקף לשרתי התוקפים וטעינת קוד זדוני נוסף
, Mimikat_ssp שהוא כלי זמין לציבור, שאוסף שמות משתמש, סיסמאות ומידע אישי, דלת אחורית מבוססת
Golang שלא הייתה ידועה בעבר ונוזקה בשם
Microcin , שמזוהה עם קבוצת תקיפה מתקדמת ודוברת סינית נוספת הקרויה
SixLittleMonkeys ומשמשת לשם שליטה מרחוק במחשבים המותקפים.
נכון לעכשיו לא ברור מה וקטור ההדבקה של השתל - כלומר איך מחדירים אותו לקושחה. ההנחה היא, שהזיהום מתרחש באמצעות גישה מרחוק למחשב ותקיפה של מנגנוני אבטחה חלשים יחסית, שמיועדים למנוע כתיבה להתקן הפלאש עליו מצויה הקושחה.
בנוסף, בעוד ש
LoJax- ו
MosaicRegressor-ערכות האיתחול הקודמות "הרחיבו" את הקושחות הנגועות בהן במנהלי התקנים זדוניים, שהיו ניכרים כרכיבים זרים וחשודים, הערכה הנוכחית משולבת בתוך רכיב קושחה קיים ומופעלת ע"י החדרת שינויים זעירים בקוד, כאלה שקשה מאוד לאתר ומאפשרים לנוזקה לחמוק מתחת לרדאר
.
חוקרי החברה ייחסו את
MoonBounce לקבוצת התקיפה
APT41 - קבוצה מתקדמת ודוברת סינית על פי מקורות שונים, שניהלה מבצעי ריגול סייבר ופשעים ברחבי העולם מאז 2012 לפחות.
הקישור נעשה נוכח קיומם של חלק מהתוכנות הזדוניות, שהוזכרו
ScrambleCross ו-
Sidewalk כתוכנות הידועות ככאלו המשמשות באופן ייחודי ע"י הקבוצה המדוברת.
בנוסף, הימצאותן של נוזקות נוספות, כדוגמת
Microcin , מרמזות על קשר אפשרי בין
APT41 לבין שחקנים מתקדמים אחרים דוברי סינית, שייתכן שחולקים משאבים בדמות אנשי מבצעים או מפתחים משותפים
. רשת תוקפים זו מתמקדת במגוון רחב של פעולות כמו איסוף קבצים ומידע רשתי רגיש.
פקודות, ששימשו את התוקפים במהלך פעילותם במקרה זה ומקרים קודמים, מצביעות על כך, שהם מעוניינים להתפשט על פני עמדות שונות בארגון, לעיתים בעלות גישה למידעים חסויים, ואיחזורם לשרתים חיצוניים בשליטת התוקפים.
המסקנה של החוקרים מהשימוש בשיטת תקיפה כה חמקנית היא, שהמניע של התוקפים הוא יצירת דריסת רגל ממושכת בארגונים הנתקפים וריגול לאורך זמן רב אחר יעדי התקיפה בהם
.
ערכת אתחול הקושחה נמצאה אמנם רק במקרה בודד עד כה, אך דגימות זדוניות קשורות אחרות, שכאמור מתקשרות עם אותם שרתי שליטה ובקרה כדוגמת
ScrambleCross נמצאו ברשתות של כמה קורבנות אחרים. לא מן הנמנע, שקיימים מקרים נוספים בעולם של השתל הנוכחי ואחרים שטרם אותרו ונותחו
.
דניס לגזו,(Denis Legezo) חוקר אבטחה בכיר בצוות המחקר והניתוח העולמי של
קספרסקי:(GReAT) "למרות שאנו יכולים לחבר את שתלי התוכנות הזדוניות הנוספים, שנמצאו במהלך המחקר שלנו (ומקושרים לקבוצות תקיפה דוברות סינית) אל
MoonBounce רק ברמת סבירות גבוהה, התמונה המצטיירת ממחקר זה ואחרים היא, ששחקנים מתקדמים ודוברי סינית חולקים כלים אלה עם אלה כדי לסייע בביצוע מבצעי תקיפה שונים".
מארק לחטיק,(Mark Lechtik) החוקר הישראלי, (בתמונה משמאל), חוקר אבטחה בכיר ב
:GReAT- "נוזקת MoonBounce היא נוזקת הנוזקה המתקדמת ביותר הידועה לנו עד כה כנגד קושחות
.UEFI הפיכת רכיב ליבה בקושחה למקור הטמעת תוכנות זדוניות במערכת, תוך פעילות בזיכרון בלבד והימנעות מהשארת עקבות על הכונן הקשיח, הם חידושים, שלא נראו בערכות אתחול הקושחה המקבילות בעבר והופכים את האיום להרבה יותר חמקני ומתקדם.
חזינו עוד ב-2018, שמשטחי התקיפה הקיימים בטכנולוגיות הקשורות ל
UEFI- ינוצלו ע"י תוקפים בהיקף גובר והולך, ונראה, שמגמה זו אכן מתממשת. על כן, לא נופתע למצוא ערכות אתחול ונוזקות מתוחכמות זהות גם ב-2022.
למרבה המזל, ישנם ספקים, שכבר החלו לייחס משמעות להתקפות כנגד קושחות, ומאפשרים שימוש בטכנולוגיות אבטחת כדוגמת
BootGuard ו
TPM-, שתוכלנה להיות אפקטיביות להגנה במקרה הנתון".
הדו"ח המלא בליווי תרשימים - כאן.