Los expertos de Kaspersky han descubierto un nuevo ejemplo de un rootkit UEFI: CosmicStrand. Por el momento, el kit CosmicStrand solo se dirige a particulares y no a empresas. Pero eso cambia es sólo cuestión de tiempo.
Los expertos de Kaspersky han descubierto un rootkit desarrollado por un actor de amenazas persistentes avanzadas (APT) que permanece en la computadora de la víctima incluso después de reiniciar el sistema operativo o reinstalar Windows. El rootkit de firmware UEFI 'CosmicStrand' se ha utilizado hasta ahora principalmente para ataques a particulares en China, con algunas víctimas también ubicadas en Vietnam, Irán y Rusia.
Los rootkits UEFI son persistentes
El firmware UEFI es un componente crítico que se encuentra en la gran mayoría del hardware. Su código es responsable de iniciar un dispositivo e iniciar el componente de software que carga el sistema operativo. Si los atacantes logran colocar un código malicioso en el firmware UEFI, este código se ejecutará antes que el sistema operativo, lo que puede evitar que las soluciones de seguridad detecten su actividad y, por lo tanto, no protejan el sistema operativo. Esto, sumado al hecho de que el firmware reside en un chip separado del disco duro, hace que los ataques de firmware UEFI sean particularmente difíciles de detectar y excepcionalmente persistentes. Porque no importa cuántas veces se reinstale el sistema operativo, el malware permanece en el dispositivo.
Viejo CosmicStrand redescubierto
CosmicStrand es el último descubrimiento de un rootkit de firmware UEFI por parte de los expertos de Kaspersky; se atribuye a un actor APT de habla china previamente desconocido. Si bien aún no se conoce el objetivo real de los atacantes, los investigadores notaron que el firmware solo se dirige a individuos y no a las corporaciones habituales. Todas las computadoras comprometidas estaban basadas en Windows: cada vez que se reiniciaba una computadora, después de que se iniciara Windows, se ejecutaba un código malicioso, cuyo propósito era conectarse a un servidor C2 (comando y control) y ejecutar un ejecutable malicioso adicional para descargar.
Los expertos de Kaspersky aún no han podido identificar cómo el rootkit llegó a las computadoras infectadas, pero las cuentas no confirmadas descubiertas en línea sugieren que algunos usuarios pueden haber recibido dispositivos comprometidos al pedir componentes de hardware en línea. También es interesante notar que el implante CosmicStrand UEFI podría decirse que se ha utilizado en la naturaleza desde finales de 2016, mucho antes de que se describieran públicamente los ataques UEFI.
CosmicStrand apareció en 2016
"Aunque el rootkit de firmware CosmicStrand UEFI se descubrió recientemente, parece haber existido durante bastante tiempo. Esto sugiere que algunos actores de amenazas tienen capacidades muy avanzadas que aseguraron que el firmware pudiera pasar desapercibido durante tanto tiempo. Ahora tenemos que preguntarnos qué nuevas herramientas han desarrollado mientras tanto que todavía tenemos que descubrir”, comenta Ivan Kwiatkowski, investigador sénior de seguridad en el equipo de investigación y análisis global de Kaspersky.
Más en Kaspersky.com
Acerca de Kaspersky Kaspersky es una empresa internacional de ciberseguridad fundada en 1997. La profunda inteligencia de amenazas y la experiencia en seguridad de Kaspersky sirven como base para soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la empresa incluye una protección líder para puntos finales y una variedad de soluciones y servicios de seguridad especializados para defenderse contra amenazas cibernéticas complejas y en constante evolución. Más de 400 millones de usuarios y 250.000 XNUMX clientes corporativos están protegidos por las tecnologías de Kaspersky. Más información sobre Kaspersky en www.kaspersky.com/