Cyber_Cookie

Ένας νέος τύπος κακόβουλου λογισμικού ακολουθεί μια σαφώς πιο αθόρυβη και δύσκολα αφαιρούμενη πορεία στο λειτουργικό σας σύστημα - κρύβεται στο τσιπ BIOS και έτσι παραμένει ακόμα και μετά την επανεγκατάσταση του λειτουργικού σας συστήματος ή το format του σκληρού σας δίσκου ενώ μπορεί να εγκατασταθεί εξ αποστάσεως. Η Kaspersky έχει παρατηρήσει την αύξηση των απειλών κακόβουλου λογισμικού firmware UEFI (Unified Extensible Firmware Interface) από το 2019, με τις περισσότερες να αποθηκεύουν κακόβουλο λογισμικό στον τομέα συστήματος EFI της συσκευής αποθήκευσης του υπολογιστή. Ωστόσο, κατά τη διάρκεια του νέου έτους εντοπίστηκε μια δυσοίωνη εξέλιξη με ένα νέο κακόβουλο λογισμικό UEFI, το οποίο εντοπίστηκε από τα αρχεία καταγραφής του σαρωτή υλικολογισμικού της Kasperksy και το οποίο εμφυτεύει κακόβουλο κώδικα στο Flash της σειριακής περιφερειακής διασύνδεσης (SPI) της μητρικής κάρτας. Οι ερευνητές ασφαλείας ονόμασαν αυτό το κακόβουλο λογισμικό "MoonBounce". Το MoonBounce δεν είναι το πρώτο κακόβουλο λογισμικό UEFI που στοχεύει στο SPI flash. Η Kaspersky αναφέρει ότι πριν από αυτό προηγήθηκαν τα LoJax και MosaicRegressor. Ωστόσο, το MoonBounce παρουσιάζει "σημαντική πρόοδο, με πιο περίπλοκη ροή επίθεσης και μεγαλύτερη τεχνική πολυπλοκότητα". Φαίνεται επίσης να έχει μολύνει ένα μηχάνημα εξ αποστάσεως. Το MoonBounce είναι αναμφισβήτητα έξυπνο στον τρόπο με τον οποίο εισέρχεται σε ένα σύστημα και καθιστά δύσκολο τον εντοπισμό και την εξουδετέρωσή του. "Η πηγή της μόλυνσης ξεκινά με ένα σύνολο από hooks που αναχαιτίζουν την εκτέλεση διαφόρων λειτουργιών στον πίνακα υπηρεσιών εκκίνησης EFI", εξηγεί η Kaspersky στο blog SecureList. Τα hooks χρησιμοποιούνται στη συνέχεια για να εκτρέψουν τις κλήσεις των λειτουργιών στον κακόβουλο shellcode που οι επιτιθέμενοι έχουν προσαρτήσει στην εικόνα CORE_DXE. Αυτό, με τη σειρά του, "δημιουργεί πρόσθετα hooks στα επόμενα συστατικά της αλυσίδας εκκίνησης, δηλαδή στον φορτωτή των Windows", ανέφεραν οι ερευνητές ασφαλείας. Αυτό επιτρέπει την εισαγωγή του κακόβουλου λογισμικού σε μια διαδικασία svchost.exe κατά την εκκίνηση του υπολογιστή στα Windows. Οι τιμές των δεικτών αντικαθίστανται κατά τη διάρκεια της εκτέλεσης εντός του κώδικα κελύφους στο MoonBounce. (Εικόνα: Kaspersky Labs) Εταιρεία τεχνολογίας μεταφορών η μόνη καταγεγραμμένη επίθεση μέχρι στιγμής Φυσικά, η Kaspersky ενδιαφέρθηκε να δει τι θα έκανε στη συνέχεια το κακόβουλο λογισμικό. Έτσι, σε ένα μολυσμένο μηχάνημα, οι ερευνητές παρατήρησαν τη διαδικασία του κακόβουλου λογισμικού να προσπαθεί να αποκτήσει πρόσβαση σε μια διεύθυνση URL για να αντλήσει το ωφέλιμο φορτίο του επόμενου σταδίου και να το εκτελέσει στη μνήμη. Είναι ενδιαφέρον ότι αυτό το μέρος της εξελιγμένης επίθεσης δεν φάνηκε να πηγαίνει πουθενά, οπότε δεν ήταν δυνατό να αναλυθούν περαιτέρω βήματα του MoonBounce. Ίσως αυτό το κακόβουλο λογισμικό βρισκόταν ακόμη σε στάδιο δοκιμών όταν εντοπίστηκε ή/και κρατείται για ειδικούς σκοπούς. Επιπλέον, το κακόβουλο λογισμικό δεν βασίζεται σε αρχεία και εκτελεί τουλάχιστον ορισμένες από τις λειτουργίες του μόνο στη μνήμη, γεγονός που καθιστά δύσκολο να δούμε τι ακριβώς έκανε το MoonBounce στον μοναδικό υπολογιστή-ξενιστή στο δίκτυο μιας εταιρείας. Ένα μόνο μηχάνημα, που ανήκει σε μια εταιρεία μεταφορών, φαίνεται να είναι το μοναδικό μηχάνημα στα αρχεία καταγραφής της Kaspersky που έχει μια μόλυνση MoonBounce στο SPI Flash του. Δεν είναι βέβαιο πώς πραγματοποιήθηκε η μόλυνση, αλλά πιστεύεται ότι προκλήθηκε εξ αποστάσεως. Αυτό το μοναδικό μηχάνημα σε μια εταιρεία τεχνολογίας μεταφορών φαίνεται να έχει εξαπλώσει εμφυτεύματα κακόβουλου λογισμικού μηUEFI σε άλλα μηχανήματα στο δίκτυο. Με μεγάλο μέρος της εργασίας του να μην περιέχει αρχεία και να παραμένει μόνο στη μνήμη, δεν είναι εύκολο να παρατηρηθεί από αυτό το μοναδικό δείγμα. Παρακάτω, ένα διάγραμμα ροής αναλύει τον τρόπο με τον οποίο το MoonBounce εκκινεί και αναπτύσσεται από τη στιγμή που ενεργοποιείται ο υπολογιστής σας με UEFI, μέσω της φόρτωσης των Windows και μέχρι να γίνει ένας χρησιμοποιήσιμος αλλά μολυσμένος υπολογιστής. (Εικόνα: Kaspersky Labs) Ανιχνεύθηκαν δακτυλικά αποτυπώματα της ομάδας APT41 Ένας άλλος σημαντικός κλάδος της δουλειάς που κάνουν οι ερευνητές ασφάλειας όπως η Kaspersky είναι να εξετάζουν ποιος βρίσκεται πίσω από το κακόβουλο λογισμικό που ανακαλύπτει, ποιοι είναι οι σκοποί του κακόβουλου λογισμικού και για ποιους συγκεκριμένους στόχους είναι προετοιμασμένο το κακόβουλο λογισμικό. Όσον αφορά το MoonBounce, η Kaspersky φαίνεται αρκετά σίγουρη ότι αυτό το κακόβουλο λογισμικό είναι προϊόν του APT41, "ενός φορέα απειλών που έχει αναφερθεί ευρέως ότι είναι κινεζόφωνος". Σε αυτή την περίπτωση, το αποδεικτικό στοιχείο είναι ένα "μοναδικό πιστοποιητικό" που το FBI έχει ήδη αναφέρει ότι σηματοδοτεί τη χρήση υποδομών που ανήκουν στην APT41. Η APT41 έχει ιστορικό επιθέσεων στην αλυσίδα εφοδιασμού, οπότε πρόκειται για τη συνέχιση ενός κεντρικού νήματος των κακόβουλων επιχειρήσεων της APT41. Μέτρα ασφαλείας Για να αποφύγετε να πέσετε θύμα του MoonBounce ή παρόμοιου κακόβουλου λογισμικού UEFI, η Kaspersky προτείνει ορισμένα μέτρα. Συνιστά στους χρήστες να ενημερώνουν το υλικολογισμικό UEFI απευθείας από τον κατασκευαστή, να επαληθεύουν ότι το BootGuard είναι ενεργοποιημένο όπου είναι διαθέσιμο και να ενεργοποιούν τα Trust Platform Modules. Τέλος, συνιστά μια λύση ασφαλείας που σαρώνει το υλικολογισμικό του συστήματος για προβλήματα, ώστε να μπορούν να ληφθούν μέτρα όταν εντοπιστεί κακόβουλο λογισμικό UEFI.

Καθώς οι βραχυπρόθεσμοι κάτοχοι του Bitcoin παραπονιούνται για σημαντικές απώλειες, ο πρόεδρος του Ελ Σαλβαδόρ, Nayib Bukele προσθέτει 410 ακόμη BTC στα χαρτοφυλάκια της χώρας, τα οποία ανέρχονται πλέον σε πάνω από 70 εκατ. δολάρια. Η κεφαλαιοποίηση της αγοράς κρυπτονομισμάτων σημείωσε πτώση άνω του 12% τις τελευταίες 24 ώρες και το Ελ Σαλβαδόρ αγόρασε περισσότερα bitcoin. Η χώρα της Κεντρικής Αμερικής αγόρασε 410 BTC αξίας περίπου 15 εκατ. δολαρίων για να τα προσθέσει στο αυξανόμενο απόθεμά της. Δεν υπάρχει επίσημη κυβερνητική στατιστική για το πόσα bitcoin κατέχει, αλλά οι εκτιμήσεις το τοποθετούν σε περίπου 1.801 BTC. Προτού καταστήσει το bitcoin νόμιμο χρήμα το 2021, η κυβέρνηση πρόσθεσε 200 BTC στα αποθέματά της, καθιστώντας το σύνολο που κατέχει 400 BTC. Το δολάριο των ΗΠΑ είναι επίσης νόμιμο χρήμα. Τον Σεπτέμβριο του 2021, ο πρόεδρος Nayib Bukele αγόρασε 150 BTC, τον Οκτώβριο του 2021, 420 BTC, τον Νοέμβριο του 2021, 100 BTC και 22 BTC στις 21 Δεκεμβρίου 2021. Η κυβέρνηση μοίρασε μέσω του συστήματος πορτοφολιών Chivo, BTC αξίας 30 δολαρίων σε 4 εκατομμύρια πολίτες, οι οποίοι, σύμφωνα με τον Bukele, ήταν ενεργοί χρήστες στις 19 Ιανουαρίου 2022. Η αγορά περισσότερων bitcoin είναι επικίνδυνη, δηλώνει η Moody's Ο Bukele πιστεύει ακράδαντα ότι τα εμβάσματα είναι ένας κρίσιμος τρόπος με τον οποίο το bitcoin βοηθά τα τέλη εμβασμάτων της χώρας, αλλά άλλοι διαφωνούν. Ο οίκος Moody's Investor Services ανησυχεί για τον κίνδυνο που εγκυμονεί για τη χρηματοπιστωτική σταθερότητα του Ελ Σαλβαδόρ, σε περίπτωση που συσσωρεύσει περισσότερο bitcoin. Πιστεύει ότι οι αδύναμες προοπτικές πιστοληπτικής ικανότητας του Ελ Σαλβαδόρ δεν θα βοηθηθούν από το bitcoin. Για τη χώρα που εμπορεύεται bitcoin, ο Jamie Reusche της Moody's δήλωσε ότι "είναι αρκετά επικίνδυνο, ιδιαίτερα για μια κυβέρνηση που έχει αγωνιστεί με πιέσεις ρευστότητας στο παρελθόν". Αν και η κυβέρνηση κατέχει bitcoin αξίας περίπου 70 εκατ. δολαρίων μόνο, κάτι που δεν είναι σημαντικό όσον αφορά τη χρηματοπιστωτική σταθερότητα, ο Reusche πιστεύει ότι περισσότερες αγορές θα μπορούσαν να θέσουν περαιτέρω σε κίνδυνο τη σταθερότητα. Ο Bukele έχει προβλέψει ότι δύο ακόμη χώρες θα καταστήσουν το bitcoin νόμιμο χρήμα το 2022 και ότι το bitcoin θα επηρεάσει σημαντικά τις εκλογές στις ΗΠΑ φέτος. Ο Bukele δεν έχει φιλικές σχέσεις με το Διεθνές Νομισματικό Ταμείο, από το οποίο έχει ζητήσει δάνειο ύψους 1 δισ. δολαρίων. Το ΔΝΤ έχει επικρίνει την προσπάθεια του Bukele να κάνει το Ελ Σαλβαδόρ την πρώτη οικονομία βασισμένη σε bitcoin. Ομόλογα Bitcoin για την άντληση χρημάτων Ο υπουργός Οικονομικών του Ελ Σαλβαδόρ κατέθεσε πρόσφατα 20 νομοσχέδια στο κοινοβούλιο τα οποία οριοθετούν το νομικό πλαίσιο για τα επερχόμενα ομόλογα bitcoin της χώρας. Τα ομόλογα, που προορίζονται να συγκεντρώσουν 800 εκατ. δολάρια, έχουν ήδη δεσμεύσεις ύψους 300 εκατ. δολαρίων. Τα μισά από τα έσοδα που θα προκύψουν από τα κρατικά ομόλογα θα χρησιμοποιηθούν για την αγορά περισσότερων bitcoin και τη χρηματοδότηση της νέας αφορολόγητης πόλης bitcoin, ενώ το άλλο μισό θα χρησιμοποιηθεί για τη χρηματοδότηση της εξόρυξης bitcoin.