Ein neu entdecktes Bootkit sorgt auf infizierten Rechnen für erhebliche Probleme. Denn wenn sich MoonBounce erst einmal eingenistet hat, helfen die herkömmlichen Gegenmaßnahmen kaum noch und es läuft eher auf die Anschaffung eines neuen Rechners hinaus.
Für gewöhnlich nisten sich solche Malwares in der EFI System Partition (ESP) der Festplatte bzw. der SSD ein, in der auch der überwiegende Teil des UEFI-Codes zu finden ist. Hier kann man die Infektion zumindest dadurch loswerden, dass man den Festspeicher komplett austauscht und das Betriebssystem auf dem neuen Medium installiert. So wäre dann zumindest der Rest der Hardware gerettet und man kommt mit einem überschaubaren finanziellen Einsatz aus der Sache heraus.
MoonBounce setzt sich hingegen im SPI-Fehler-Speicher fest. Dabei handelt es sich um ein gesondertes Modul auf dem Motherboard, das nur in einem ziemlich komplexen Verfahren neu geflasht werden kann. Die leichtere Lösung ist hier dann ein Austausch des Motherboards, was in vielen Fällen letztlich einem wirtschaftlichen Totalschaden gleichkommt.
Kaum normale Kriminelle
Entdeckt wurde die Malware durch die Security-Forscher bei Kaspersky. Wie diese ausführten, handelt es sich überhaupt erst um das dritte Bootkit, das den SPI-Speicher infiziert. Bei den anderen beiden handelte es sich um LoJax und MosaicRegressor. Darüber hinaus gibt es inzwischen auch noch diverse andere Schädlinge, die das UEFI angreifen, die sich dann allerdings meist im ESP verstecken - zu diesen gehört auch der Staatstrojaner FinSpy vom Münchener Malware-Hersteller FinFisher.
Die Entwicklung eines Bootkits wie MoonBounce ist eine ziemlich komplexe Angelegenheit, für die herkömmliche kriminelle Gruppen kaum die Ressourcen haben. Hinzu kommt, dass die Ziele normaler Krimineller meist auch einfacher zu erreichen sind. Anders sieht es hingegen aus, wenn das Ziel in Spionage auf wirtschaftlicher oder staatlicher Ebene liegt. Aufgrund der Charakteristik der Malware haben die Kaspersky-Experten im Falle MoonBounce' ein Team im Verdacht, das als ATP41 bezeichnet wird und wahrscheinlich aus China stammt.
Anmelden
Ein neu entdecktes Bootkit sorgt auf infizierten Rechnen für erhebliche Probleme. Denn wenn sich MoonBounce erst einmal eingenistet hat, helfen die herkömmlichen Gegenmaßnahmen kaum noch und es läuft eher auf die Anschaffung eines neuen Rechners hinaus.
Für gewöhnlich nisten sich solche Malwares in der EFI System Partition (ESP) der Festplatte bzw. der SSD ein, in der auch der überwiegende Teil des UEFI-Codes zu finden ist. Hier kann man die Infektion zumindest dadurch loswerden, dass man den Festspeicher komplett austauscht und das Betriebssystem auf dem neuen Medium installiert. So wäre dann zumindest der Rest der Hardware gerettet und man kommt mit einem überschaubaren finanziellen Einsatz aus der Sache heraus.