Kaspersky के विशेषज्ञों ने UEFI रूटकिट का एक नया उदाहरण खोजा है: CosmicStrand। फिलहाल, कॉस्मिकस्ट्रैंड किट केवल निजी व्यक्तियों को लक्षित करती है, न कि कंपनियों को। लेकिन यह परिवर्तन केवल समय की बात है।
Kaspersky विशेषज्ञों ने उन्नत पर्सिस्टेंट थ्रेट (APT) अभिनेता द्वारा विकसित एक रूटकिट की खोज की है जो पीड़ित के कंप्यूटर पर ऑपरेटिंग सिस्टम के पुनरारंभ होने या विंडोज के पुनर्स्थापित होने के बाद भी बना रहता है। यूईएफआई फर्मवेयर रूटकिट 'कॉस्मिकस्ट्रैंड' अब तक मुख्य रूप से चीन में निजी व्यक्तियों पर हमलों के लिए इस्तेमाल किया गया है, कुछ पीड़ित वियतनाम, ईरान और रूस में भी स्थित हैं।
यूईएफआई रूटकिट्स लगातार हैं
यूईएफआई फर्मवेयर एक महत्वपूर्ण घटक है जो अधिकांश हार्डवेयर में पाया जाता है। आपका कोड डिवाइस को बूट करने और ऑपरेटिंग सिस्टम को लोड करने वाले सॉफ़्टवेयर घटक को शुरू करने के लिए ज़िम्मेदार है। यदि हमलावर UEFI फर्मवेयर में दुर्भावनापूर्ण कोड डालने का प्रबंधन करते हैं, तो यह कोड ऑपरेटिंग सिस्टम से पहले लॉन्च होगा, जो सुरक्षा समाधानों को इसकी गतिविधि का पता लगाने से रोक सकता है और इस प्रकार ऑपरेटिंग सिस्टम की सुरक्षा करने में विफल हो सकता है। यह, प्लस तथ्य यह है कि फर्मवेयर हार्ड ड्राइव से अलग चिप पर रहता है, यूईएफआई फर्मवेयर हमलों को विशेष रूप से पहचानना मुश्किल और असाधारण रूप से लगातार बना देता है। क्योंकि ऑपरेटिंग सिस्टम को कितनी भी बार रीइंस्टॉल किया जाए, मैलवेयर डिवाइस पर बना रहता है।
पुराना कॉस्मिकस्ट्रैंड फिर से खोजा गया
CosmicStrand Kaspersky विशेषज्ञों द्वारा UEFI फ़र्मवेयर रूटकिट की नवीनतम खोज है; इसका श्रेय पहले अज्ञात चीनी भाषी एपीटी अभिनेता को दिया जाता है। जबकि हमलावरों का वास्तविक लक्ष्य अभी तक ज्ञात नहीं है, शोधकर्ताओं ने कहा कि फर्मवेयर केवल व्यक्तियों को लक्षित करता है न कि सामान्य निगमों को। सभी समझौता किए गए कंप्यूटर विंडोज-आधारित थे: हर बार एक कंप्यूटर के पुनरारंभ होने के बाद, विंडोज शुरू होने के बाद, दुर्भावनापूर्ण कोड चलता था, जिसका उद्देश्य C2 (कमांड-एंड-कंट्रोल) सर्वर से कनेक्ट करना और एक अतिरिक्त दुर्भावनापूर्ण निष्पादन योग्य चलाना था। डाउनलोड करना।
Kaspersky विशेषज्ञ अभी तक यह पहचानने में सक्षम नहीं हैं कि रूटकिट संक्रमित कंप्यूटरों पर कैसे पहुंचा, लेकिन ऑनलाइन खोजे गए अपुष्ट खातों से पता चलता है कि कुछ उपयोगकर्ताओं को हार्डवेयर घटकों को ऑनलाइन ऑर्डर करते समय समझौता किए गए डिवाइस प्राप्त हो सकते हैं। यह भी ध्यान रखना दिलचस्प है कि CosmicStrand UEFI इम्प्लांट का यकीनन 2016 के अंत से जंगली में उपयोग किया गया है - UEFI हमलों के सार्वजनिक रूप से वर्णित होने से बहुत पहले।
कॉस्मिकस्ट्रैंड 2016 में वापस सामने आया
"हालांकि कॉस्मिकस्ट्रैंड यूईएफआई फर्मवेयर रूटकिट हाल ही में खोजा गया था, ऐसा लगता है कि यह कुछ समय के लिए आसपास रहा है। इससे पता चलता है कि कुछ खतरे वाले अभिनेताओं के पास बहुत उन्नत क्षमताएं हैं जो सुनिश्चित करती हैं कि फर्मवेयर इतने लंबे समय तक चलने में सक्षम था। हमें अब आश्चर्य करना होगा कि इस बीच उन्होंने कौन से नए उपकरण विकसित किए हैं जिन्हें हमने अभी तक खोजा है," कैस्पर्सकी ग्लोबल रिसर्च एंड एनालिसिस टीम के वरिष्ठ सुरक्षा शोधकर्ता इवान क्वियाटकोव्स्की ने टिप्पणी की।
Kaspersky.com पर अधिक
Kaspersky के बारे में Kaspersky 1997 में स्थापित एक अंतरराष्ट्रीय साइबर सुरक्षा कंपनी है। Kaspersky की डीप थ्रेट इंटेलिजेंस और सुरक्षा विशेषज्ञता दुनिया भर में व्यवसायों, महत्वपूर्ण बुनियादी ढांचे, सरकारों और उपभोक्ताओं की सुरक्षा के लिए नवीन सुरक्षा समाधानों और सेवाओं की नींव के रूप में कार्य करती है। कंपनी के व्यापक सुरक्षा पोर्टफोलियो में जटिल और उभरते साइबर खतरों से बचाव के लिए अग्रणी एंडपॉइंट सुरक्षा और विशेष सुरक्षा समाधानों और सेवाओं की एक श्रृंखला शामिल है। 400 मिलियन से अधिक उपयोगकर्ता और 250.000 कॉर्पोरेट ग्राहक Kaspersky प्रौद्योगिकियों द्वारा सुरक्षित हैं। www.kaspersky.com/ पर Kaspersky के बारे में अधिक जानकारी