Հիմնական տանողներ
- Անվտանգության հետազոտողները հայտնաբերել են եզակի չարամիտ ծրագիր, որը վարակում է մայր տախտակի ֆլեշ հիշողությունը։
- Չարամիտ ծրագիրը դժվար է հեռացնել, և հետազոտողները դեռ չեն հասկանում, թե ինչպես է այն ի սկզբանե մտնում համակարգիչ:
-
Bootkit չարամիտ ծրագիրը կշարունակի զարգանալ, զգուշացնում են հետազոտողները:
Համակարգչի ախտահանման համար անհրաժեշտ է անել այնպես, ինչպես կա: Նոր չարամիտ ծրագիրը ավելի դժվար է դարձնում առաջադրանքը, քանի որ անվտանգության հետազոտողները հայտնաբերել են, որ այն այնքան խորն է ներկառուցված համակարգչի մեջ, որ դուք հավանաբար ստիպված կլինեք սեղմել մայր տախտակը, որպեսզի ձերբազատվեք դրանից:
Կանպագրվել է MoonBounce-ը Kaspersky-ի անվտանգության աշխատակիցների կողմից, ովքեր հայտնաբերել են այն, չարամիտ ծրագիրը, որը տեխնիկապես կոչվում է bootkit, անցնում է կոշտ սկավառակի այն կողմ և թափանցում համակարգչի Unified Extensible Firmware Interface (UEFI) բեռնման որոնվածը::
«Հարձակումը շատ բարդ է», - ասել է Թոմեր Բարը, SafeBreach-ի անվտանգության հետազոտությունների տնօրենը Lifewire-ին էլեկտրոնային փոստով: «Երբ զոհը վարակվում է, դա շատ համառ է, քանի որ նույնիսկ կոշտ սկավառակի ձևաչափը չի օգնի»:
Վեպ սպառնալիք
Bootkit չարամիտ ծրագրերը հազվադեպ են, բայց ոչ բոլորովին նոր, քանի որ ինքը Կասպերսկին հայտնաբերել է ևս երկուսը վերջին մի քանի տարիների ընթացքում: Այնուամենայնիվ, MoonBounce-ը եզակի է դարձնում այն, որ այն վարակում է մայր տախտակի վրա տեղադրված ֆլեշ հիշողությունը՝ դարձնելով այն անթափանց հակավիրուսային ծրագրերի և չարամիտ ծրագրերը հեռացնելու այլ սովորական միջոցների համար::
Իրականում, Kaspersky-ի հետազոտողները նշում են, որ օգտվողները կարող են նորից տեղադրել օպերացիոն համակարգը և փոխարինել կոշտ սկավառակը, բայց bootkit-ը կշարունակի մնալ վարակված համակարգչում այնքան ժամանակ, մինչև օգտվողները նորից չբռնկեն վարակված ֆլեշ հիշողությունը, որը նրանք նկարագրում են: որպես «շատ բարդ գործընթաց», կամ ամբողջությամբ փոխարինել մայր տախտակը:
Ինչն ավելի վտանգավոր է դարձնում չարամիտ ծրագիրը, ավելացրել է Բարն, այն է, որ չարամիտ ծրագիրն առանց ֆայլերի է, ինչը նշանակում է, որ այն չի հիմնվում այն ֆայլերի վրա, որոնք հակավիրուսային ծրագրերը կարող են նշել և ակնհայտ հետք չի թողնում վարակված համակարգչի վրա, ինչը շատ է դարձնում այն: դժվար է հետևել:
Հիմնվելով չարամիտ ծրագրի իրենց վերլուծության վրա՝ Kaspersky-ի հետազոտողները նշում են, որ MoonBounce-ը բազմաստիճան հարձակման առաջին քայլն է: MoonBounce-ի ետևում գտնվող ստահակ դերասաններն օգտագործում են չարամիտ ծրագիրը՝ հենակետ դնելու զոհի համակարգչին, որը, ըստ նրանց, կարող է օգտագործվել տվյալների հափշտակման կամ փրկագին գործարկելու լրացուցիչ սպառնալիքներ տեղադրելու համար:
Խնայողությունը, սակայն, այն է, որ հետազոտողները մինչ այժմ հայտնաբերել են չարամիտ ծրագրի միայն մեկ օրինակ: «Սակայն դա շատ բարդ կոդ է, որը մտահոգիչ է. եթե ոչ այլ բան, դա ազդարարում է ապագայում այլ, առաջադեմ չարամիտ ծրագրերի հավանականությունը», - նախազգուշացրեց Lifewire-ին DomainTools-ի անվտանգության ավետարանիչ Թիմ Հելմինգը:
Թերեզ Շախները՝ VPNBrains-ի կիբերանվտանգության խորհրդատու, համաձայնել է: «Քանի որ MoonBounce-ը հատկապես գաղտնի է, հնարավոր է, որ լինեն MoonBounce-ի հարձակումների լրացուցիչ դեպքեր, որոնք դեռևս չեն հայտնաբերվել»:
պատվաստել ձեր համակարգիչը
Հետազոտողները նշում են, որ չարամիտ ծրագիրը հայտնաբերվել է միայն այն պատճառով, որ հարձակվողները սխալ են թույլ տվել օգտագործել նույն հաղորդակցման սերվերները (տեխնիկապես հայտնի են որպես հրամանների և կառավարման սերվերներ), ինչպես մեկ այլ հայտնի չարամիտ ծրագիր:
Այնուամենայնիվ, Հելմինգը ավելացրեց, որ քանի որ պարզ չէ, թե ինչպես է տեղի ունենում նախնական վարակը, գործնականում անհնար է շատ կոնկրետ ցուցումներ տալ, թե ինչպես խուսափել վարակվելուց: Անվտանգության լավ ընդունված փորձին հետևելը, այնուամենայնիվ, լավ սկիզբ է:
«Մինչ չարամիտ ծրագիրն ինքնին զարգանում է, հիմնական վարքագիծը, որից պետք է խուսափի սովորական օգտատերը՝ իրեն պաշտպանելու համար, իրականում չեն փոխվել: Ծրագրային ապահովումը, հատկապես անվտանգության ծրագրակազմը թարմ պահելը կարևոր է:Կասկածելի հղումների վրա սեղմելուց խուսափելը մնում է լավ ռազմավարություն», - առաջարկել է Lifewire-ին Tripwire-ի ռազմավարության փոխնախագահ Թիմ Էրլինը էլփոստի միջոցով::
… հնարավոր է, որ կան MoonBounce-ի հարձակումների լրացուցիչ դեպքեր, որոնք դեռևս չեն հայտնաբերվել:
Ավելացնելով այդ առաջարկին, Checkmarx-ի Անվտանգության ավետարանիչ Սթիվեն Գեյթսը Lifewire-ին էլ.
«Փնտրեք գործիքներ, որոնք կարող են խթանել սկրիպտների կառավարումը և հիշողության պաշտպանությունը, և փորձեք օգտագործել ծրագրեր այն կազմակերպություններից, որոնք օգտագործում են անվտանգ, ժամանակակից հավելվածների մշակման մեթոդոլոգիաներ՝ փաթեթի ներքևից մինչև վեր», - առաջարկեց Գեյթսը:
Մյուս կողմից, Բարը պաշտպանում էր տեխնոլոգիաների օգտագործումը, ինչպիսիք են SecureBoot-ը և TPM-ը՝ ստուգելու համար, որ բեռնման որոնվածը չի փոփոխվել որպես bootkit չարամիտ ծրագրերի դեմ արդյունավետ մեղմացման տեխնիկա:
Schachner-ը, նմանատիպ գծերով, առաջարկել է, որ UEFI-ի որոնվածի թարմացումների տեղադրումը, երբ դրանք թողարկվում են, կօգնի օգտվողներին ներառել անվտանգության ուղղումներ, որոնք ավելի լավ են պաշտպանում իրենց համակարգիչները առաջացող սպառնալիքներից, ինչպիսին է MoonBounce-ը:
Ավելին, նա նաև խորհուրդ է տվել օգտագործել անվտանգության հարթակներ, որոնք ներառում են որոնվածի սպառնալիքների հայտնաբերում: «Անվտանգության այս լուծումները թույլ են տալիս օգտատերերին որքան հնարավոր է շուտ տեղեկացված լինել ծրագրային ապահովման հնարավոր սպառնալիքների մասին, որպեսզի դրանք կարողանան ժամանակին լուծել՝ նախքան սպառնալիքների աճը»:
