Neue Schadsoftware ist auch nach Festplattentausch noch da

Die Sicherheitsforscher*innen von Kaspersky haben eine Warnung vor einer neuen Schadsoftware herausgegeben, die auf den Namen "MoonBounce" hört. Sie kann in das UEFI von Geräten gepflanzt werden. In der Firmware verankert, kann die Software kaum entfernt werden. Die erneute Installation des Betriebssystems oder sogar ein Tausch der Festplatte lösen das Problem nicht, wie The Record berichtet.

SPI Flaws Speicher am Motherboard

Genauer gesagt, infiltriert MoonBounce den SPI Flaws Speicher, der auf dem Motherboard des Geräts sitzt. Man kann diesen Speicher theoretisch per Re-Flash reinigen, das ist allerdings ein sehr komplexer Prozess.

MoonBounce ist nicht die erste Schadsoftware, die diesen Bereich von Computern nützt, um sich einzunisten, und Angreifern Zugriff auf das Gerät zu ermöglichen. Frühere Beispiele sind etwa LoJax und MosaicRegressor.

China dahinter vermutet

Bisher wurde MoonBounce in der Praxis lediglich ein einziges Mal entdeckt, und zwar im Netzwerk eines Transportunternehmens. Nach einer Analyse vermutet Kaspersky, dass es sich bei MoonBounce um das Werk der Hackergruppe APT41 handelt. Laut The Cyberwire ist die Gruppe auch bekannt unter den Bezeichnungen Barium, Winnti und Wicked Panda. Sie soll im Auftrag der chinesischen Regierung arbeiten.