¿Qué es MOONBOUNCE ?
El bootkit identificado por SecureList, denominado MoonBounce, se considera una evolución particular de este tipo de amenazas, ya que se caracteriza por un flujo de ataque complejo en comparación con herramientas de piratería similares, además de las evidentes capacidades técnicas de sus desarrolladores.
Después de un análisis detallado, se descubrieron algunas características clave de MoonBounce:
- El firmware UEFI se manipula para incrustar cargas útiles maliciosas.
- Debido a su ubicación en la memoria flash SPI, el implante puede persistir en el sistema a pesar de formatear o reemplazar el disco duro.
- El ataque parece estar dirigido principalmente a implementar malware en modo de usuario para coordinar la ejecución de más cargas útiles descargadas de Internet.
Los actores de amenazas incorporan implantes UEFI en el componente CORE_DXE del firmware, que se invoca temprano en la fase del entorno de ejecución del controlador (DXE) de la secuencia de arranque UEFI. La infección comienza con un conjunto de ganchos que interceptan la ejecución de varias funciones en la tabla de servicios de arranque de EFI y desvían el flujo de estas funciones a un shellcode malicioso agregado por los atacantes a la imagen CORE_DXE, que a su vez establece los ganchos. Componentes posteriores de la cadena de arranque, incluido el cargador del sistema de Windows.
Esta cadena de enlaces facilita la implementación de código malicioso desde la imagen CORE_DXE a otros componentes durante el inicio del sistema, lo que permite introducir controladores maliciosos en el espacio de direcciones de la memoria del kernel de Windows. Este controlador, a su vez, es responsable de implementar el malware en modo de usuario inyectándolo en el proceso svchost.exe; finalmente, el malware en modo de usuario llega a una URL de C&C codificada e intenta otra etapa para obtener la carga útil para Ejecutar en la memoria, pero no pudo ser recuperado por los investigadores.
Actualmente al presidente de china (Xi Jinping) le interesa espiar a México, Colombia, argentina, Brasil, Perú, Chile, entre otros países de Latinoamérica, ya que Estados Unidos tiene una influencia con ellos, por lo que el gobierno chino busca obtener información comercial de EE.UU y conseguir territorio comercial mediante tratados para su expansión comunista, china vigila más de 33 países e innumerables industrias privadas, su equipo que realiza estas operaciones son las unidades militares cibernéticas chinas, que se identifican como un grupo APT o «Advanced Persistent Threat Group», teniendo como misión principal, espiar su objetivo por años y así ayudar a su gobierno a tener el control total del mundo.
Entre los más famosos grupos APT chinos son:
- APT41-Wintti Group: APT41 apunta directamente a organizaciones en al menos 14 países, teniendo como objetivo el sector salud, Aero espacio, telecomunicaciones, educación, transporte e información de alta tecnología.
APT41 penetra empresas de tecnología e implanta códigos maliciosos en sus programas, un claro ejemplo es NetSarang (una herramienta de administración remota empresarial) utilizada por muchas empresas en el mundo, esta herramienta fue detectada con código malicioso y causo la infección de 600 mil dispositivos, al igual que CCleaner, un software antivirus que tenía múltiples códigos maliciosos incrustados dando 2.3 millones de computadoras comprometidas. Aun así, el gobierno chino piensa en grande e incrusto códigos de espionaje en videojuegos como Path of Exile, League of legends y FIFA Online3, espiando a sus usuarios por años.
- APT40: APT40 apunta a los países de importantes iniciativas, ayudando a Beijing a modernizar sus fuerzas navales y proyectos de investigación en universidades para diseños de equipos y vehículos marinos.
- APT30: Dirigido a países miembros de la Asociación de Naciones del Sudeste Asiático, infectando redes con espacios abiertos para obtener un control total de los dispositivos que no cuentan con acceso a internet.
- APT19: Se dirige a empresas del sector jurídico y de inversión, para así tener pruebas en contra de personas importantes y darles chantaje en un futuro cercano.