Виявлено вірус, який не боїться форматування та навіть заміни жорсткого диска

Наприкінці січня представники «Лабораторії Касперського» виклали детальний технічний звіт під назвою «MoonBounce: прихована загроза в UEFI» , де розповідається про компрометацію системи на рівні прошивки UEFI, що стало відомо завдяки вивченню журналів Firmware Scanner (один із інструментів захисту «Лабораторії Касперського»).

Із заголовка звіту зрозуміло, що новий вірус вирішили позначити як MoonBounce (Місячний стрибок???).

Зловмисникам вдалося модифікувати ланцюжок виконання в UEFI і впровадити шкідливий код у флеш-пам’ять SPI, розташовану на материнській платі. Таким чином, імплант зовсім не боїться ні переустановки системи, ні форматування жорсткого диска і може спокійно запускатися навіть після його заміни.

Проблема вимальовується дуже серйозна. Якби звичайному користувачеві підхопити подібний вірус, доведеться або бігти за новим комп’ютером або ноутбуком, або звертатися в сервіс для перепрошивки мікросхеми UEFI на апаратному рівні через програматор – іншими способами його, швидше за все, не позбутися.

Передбачається, що зараження відбувається у віддаленому режимі, але це не точно.

За інформацією «Лабораторії Касперського», MoonBounce вже не перший буткіт UEFI, який зустрівся з їхніми аналітиками, а авторство його імовірно приписується китайському угрупованню APT41. Поширення вірусу не носить масового характеру, поки це лише приватна проблема однієї неназваної транспортної компанії. Метою вірусу бачать втручання у ланцюжки поставок, крадіжку конфіденційної інформації та персональних даних.