Uutta haittaohjelmaa ei saa pois edes SSD- tai HDD -aseman formatoinnilla – suojautua voi

MoonBounce-niminen haittaohjelma on erittäin hyvin piiloutuvaa sorttia. Se säilyy tietokoneessa vaikka SSD- tai HDD -aseman tiedostot tuhoaisi ja levyt formatoisi.

MoonBounce kuuluu uudentyyppisiin haittaohjelmiin, joita on vaikea poistaa. Ne piiloutuvat tietokoneen BIOSin käyttämään SPI (Serial Peripheral Interface) -flash-muistiin.

Kasperskyn mukaan Unified Extensible Firmware Interface (UEFI) -laiteohjelmistoihin liittyvät uhat ovat kasvaneet vuodesta 2019 lähtien. Tämän vuoden vuoden aikana Kaspersky havaitsi uuden UEFI-haittaohjelman, joka istuttaa haitallista koodia emolevyn SPI-flash-muistiin. Tietoturvatutkijat ovat nimenneet siellä asustelevan UEFI-haittaohjelman MoonBounceksi.

MoonBounce ei ole ensimmäinen SPI-flashiin pyrkivä UEFI-haittaohjelma. Kaspersky sanoo, että vastaavia aiempia olivat LoJax ja MosaicRegressor. MoonBounce kuitenkin osoittaa Kasperskyn mukaan merkittävää edistystä monimutkaisemmalla hyökkäystyypillään ja teknisyydellään. Se vaikuttaisi niin ikään tartuttaneen koneen etänä.

MoonBounce on ovela siinä, miten se pääsee järjestelmään ja piilottaa itsensä. Karspesky valistaa, että haittaohjelma käyttää ”hookkeja”, jotka keskeyttävät EFI Boot Services Tablen toimintojen ajamisen. Hookkeja käytetään sitten toimintojen ohjaamiseen haitalliseen koodiin. Tämä mahdollistaa lisähookkien luomisen, joilla vaikutetaan Windowsiin sen käynnistysvaiheen aikana. Windowsin ollessa käynnissä scvhost.exe -prosessin toimintaan voi vaikuttaa haitallisella koodilla.

Kun kone on saastutettu, MoonBounce yrittää pääsyä URL-osoitteeseen ja majailee tietokoneen muistissa, mutta ei yllättäen tee oikeastaan mitään. Mahdollisesti haittaohjelma onkin vielä testivaiheessa. Kaspersky selvittää parhaillaan, kuka voisi olla MoonBouncen kehittäjä, ja mitkä haittaohjelman tarkoitusperät ovat.

UEFI-haittaohjelmilta voi yrittää suojautua päivittämällä BIOSin ja kytkemällä BootGuard ja TPM-tietoturvaominaisuudet päälle. Lisäksi tarjolla on tietoturvasovelluksia, jotka pystyvät skannaamaan laiteohjelmistoja.