Malware Ini Dapat Bertahan Meski Drive Telah Diformat Ulang

0
492

Peneliti keamanan siber dari Kaspersky telah menemukan spesies malware langka yang tidak dapat dihapus oleh antivirus, atau bahkan tindakan paling ekstrim, seperti pemformatan atau penggantian hard drive.

Malware MoonBounce ini tidak berada di hard drive itu sendiri, melainkan di memori cacat SPI yang ditemukan di motherboard.

Jenis malware ini disebut bootkit dan seperti yang dijelaskan oleh The Record, hanya dapat dihapus dengan mem-flash ulang memori SPI, yang digambarkan sebagai “proses yang sangat kompleks”. Solusi lain adalah dengan mengganti motherboard.

Serangan Asal China

MoonBounce dirancang sebagai malware tahap satu dalam serangan multi-tahap. Pelaku jahat ini menggunakannya untuk menjaga pintu ke perangkat yang disusupi agar tetap terbuka, atau untuk menyebarkan malware tahap dua yang kemudian dapat berfungsi sebagai pemanen data, pelaksana kode, ransomware, dll.

Kaspersky mengatakan bahwa sejauh ini, hanya ada satu contoh MoonBounce yang ditemukan – di perangkat milik perusahaan jasa transportasi. Para peneliti juga mendapat kesan bahwa MoonBounce adalah karya APT41, sebuah kelompok kejahatan dunia maya yang disponsori negara dan memiliki hubungan dengan pihak berwenang China.

Para peneliti menyatakan bahwa baik MoonBounce dan malware tahap dua yang juga ditemukan di perangkat, berkomunikasi dengan infrastruktur server yang sama dari asal APT41 memberikan instruksinya.

Kaspersky masih tidak tahu bagaimana MoonBounce berakhir di perangkat yang disusupi untuk memulai.

“Sebagai tindakan pengamanan terhadap serangan ini dan yang serupa, disarankan untuk memperbarui firmware UEFI secara teratur dan memverifikasi bahwa BootGuard, jika berlaku, diaktifkan. Demikian juga, disarankan untuk mengaktifkan Trust Platform Modules, jika perangkat keras yang sesuai didukung pada mesin, juga disarankan,” kata tim Kaspersky.

MoonBounce adalah bootkit UEFI (Unified Extensible Firmware Interface), dan yang ketiga ditemukan Kaspersky belakangan ini, setelah LoJax dan MosaicRegressor. Dalam beberapa bulan terakhir, para peneliti menemukan beberapa bootkit UEFI, The Record mengingatkan, termasuk ESPectre, atau bootkit UEFI FinSpy.