Выявлен новый вирус, который не боится форматирования и даже замены жесткого диска

Февраль, 15th 2022Рубрика: Безопасность 2439
Подписаться на комментарии по RSS

новый вирус, который не боится форматирования

Увидев в ленте новостей упоминание о новом компьютерном вирусе, который не боится форматирования и даже полной замены жесткого диска, сперва решил что это какой-то фейк. Такое возможно только в одном случае, если вирус внедряется в прошивку UEFI (BIOS) компьютера, но ведь её нельзя незаметно модифицировать... или всё-таки можно?

Полазив в сети нашёл первоисточник, откуда была взята инфа о новом вирусе. Как бы предвзято я не относился к «Лаборатории Касперского», но нельзя не признать, что грамотные специалисты там есть.

В общем, в конце января они выложили детальный технический отчёт — «MoonBounce: скрытая угроза в UEFI», где рассказывается о компрометации системы на уровне прошивки UEFI, что стало известно благодаря изучению журналов Firmware Scanner (один из инструментов защиты «Лаборатории Касперского»).

Из заголовка отчёта понятно, что новый вирус решили обозначить как MoonBounce (Лунный Прыжок???). Я не очень силён в переводах, так что пусть остаётся как есть.

Злоумышленникам удалось модифицировать цепочку выполнения в UEFI и внедрить вредоносный код во флэш-память SPI, расположенную на материнской плате. Таким образом имплант совершенно не боится, ни переустановки системы, ни форматирования жёсткого диска и может спокойно запускаться даже после его замены.

Проблема вырисовывается весьма серьёзная. Случись обычному пользователю подхватить подобный вирус, придётся либо бежать за новым компьютером или ноутбуком, либо обращаться в сервис для перепрошивки микросхемы UEFI на аппаратном уровне через программатор — иными способами от него, скорее всего, не избавиться.

Предполагается, что заражение происходит в удаленном режиме, но это не точно.

По информации «Лаборатории Касперского», MoonBounce уже не первый буткит UEFI, который встретился их аналитикам, а авторство его предположительно приписывается китайской группировке APT41. Распространение вируса не носит массовый характер, пока это лишь частная проблема одной неназванной транспортной компании. Целью вируса видят вмешательство в цепочки поставок, кражу конфиденциальной информации и персональных данных.

Детальный технический отчет опубликован на сайте «Лаборатории Касперского» (ссылку можно найти чуть выше).

Подписывайтесь на канал Яндекс.Дзен и узнавайте первыми о новых материалах, опубликованных на сайте.

Если считаете статью полезной,
не ленитесь ставить лайки и делиться с друзьями.

ваш комментарий будет опубликован после проверки
на указанный адрес будет отправлено письмо с кодом активации. Вы можете настроить собственный профиль и стать активным участником или автором.