Gli esperti di Kaspersky hanno scoperto un nuovo esempio di rootkit UEFI: CosmicStrand. Al momento il kit CosmicStrand si rivolge solo ai privati e non alle aziende. Ma i cambiamenti sono solo questione di tempo.
Gli esperti di Kaspersky hanno scoperto un rootkit sviluppato da un attore APT (Advanced Persistent Threat) che rimane sul computer della vittima anche dopo il riavvio del sistema operativo o la reinstallazione di Windows. Il rootkit del firmware UEFI 'CosmicStrand' è stato finora utilizzato principalmente per attacchi a privati in Cina, con alcune vittime anche in Vietnam, Iran e Russia.
I rootkit UEFI sono persistenti
Il firmware UEFI è un componente critico che si trova nella stragrande maggioranza dell'hardware. Il tuo codice è responsabile dell'avvio di un dispositivo e dell'avvio del componente software che carica il sistema operativo. Se gli aggressori riescono a inserire codice dannoso nel firmware UEFI, questo codice verrà avviato prima del sistema operativo, il che potrebbe impedire alle soluzioni di sicurezza di rilevarne l'attività e quindi non riuscire a proteggere il sistema operativo. Questo, oltre al fatto che il firmware risiede su un chip separato dal disco rigido, rende gli attacchi al firmware UEFI particolarmente difficili da rilevare ed eccezionalmente persistenti. Perché non importa quante volte il sistema operativo viene reinstallato, il malware rimane sul dispositivo.
Vecchio CosmicStrand riscoperto
CosmicStrand è l'ultima scoperta di un rootkit del firmware UEFI da parte degli esperti di Kaspersky; è attribuito a un attore APT di lingua cinese precedentemente sconosciuto. Sebbene il vero obiettivo degli aggressori non sia ancora noto, i ricercatori hanno notato che il firmware prende di mira solo individui e non le solite società. Tutti i computer compromessi erano basati su Windows: ogni volta che un computer veniva riavviato, dopo l'avvio di Windows, veniva eseguito un codice dannoso, il cui scopo era connettersi a un server C2 (command-and-control) ed eseguire un ulteriore eseguibile dannoso per scaricamento.
Gli esperti di Kaspersky non sono ancora stati in grado di identificare in che modo il rootkit sia entrato nei computer infetti, ma account non confermati scoperti online suggeriscono che alcuni utenti potrebbero aver ricevuto dispositivi compromessi durante l'ordinazione di componenti hardware online. È anche interessante notare che l'impianto CosmicStrand UEFI è stato probabilmente utilizzato in natura dalla fine del 2016, molto prima che gli attacchi UEFI fossero descritti pubblicamente.
CosmicStrand è emerso nel 2016
"Sebbene il rootkit del firmware CosmicStrand UEFI sia stato scoperto solo di recente, sembra che sia in circolazione da un po' di tempo. Ciò suggerisce che alcuni attori delle minacce hanno capacità molto avanzate che hanno garantito che il firmware potesse rimanere inosservato per così tanto tempo. Ora dobbiamo chiederci quali nuovi strumenti hanno sviluppato nel frattempo che dobbiamo ancora scoprire", commenta Ivan Kwiatkowski, Senior Security Researcher presso il Global Research and Analysis Team di Kaspersky.
Altro su Kaspersky.com
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/