Os especialistas da Kaspersky descobriram um novo exemplo de rootkit UEFI: CosmicStrand. No momento, o kit CosmicStrand visa apenas indivíduos particulares e não empresas. Mas essa mudança é apenas uma questão de tempo.
Os especialistas da Kaspersky descobriram um rootkit desenvolvido por um ator de Ameaça Persistente Avançada (APT) que permanece no computador da vítima mesmo depois que o sistema operacional é reiniciado ou o Windows é reinstalado. Até agora, o rootkit de firmware UEFI 'CosmicStrand' tem sido usado principalmente para ataques a indivíduos particulares na China, com algumas vítimas também localizadas no Vietnã, Irã e Rússia.
Os rootkits UEFI são persistentes
O firmware UEFI é um componente crítico encontrado na grande maioria do hardware. Seu código é responsável por inicializar um dispositivo e iniciar o componente de software que carrega o sistema operacional. Se os invasores conseguirem colocar um código malicioso no firmware UEFI, esse código será iniciado antes do sistema operacional, o que pode impedir que as soluções de segurança detectem sua atividade e, assim, não protejam o sistema operacional. Isso, além do fato de que o firmware reside em um chip separado do disco rígido, torna os ataques de firmware UEFI particularmente difíceis de detectar e excepcionalmente persistentes. Porque não importa quantas vezes o sistema operacional seja reinstalado, o malware permanece no dispositivo.
Antiga CosmicStrand redescoberta
CosmicStrand é a mais recente descoberta de um rootkit de firmware UEFI por especialistas da Kaspersky; é atribuído a um ator APT falante de chinês anteriormente desconhecido. Embora o alvo real dos invasores ainda não seja conhecido, os pesquisadores observaram que o firmware visa apenas indivíduos e não as corporações habituais. Todos os computadores comprometidos eram baseados no Windows: toda vez que um computador era reiniciado, após a inicialização do Windows, um código malicioso era executado, cujo objetivo era conectar-se a um servidor C2 (comando e controle) e executar um executável malicioso adicional para download.
Os especialistas da Kaspersky ainda não conseguiram identificar como o rootkit entrou nos computadores infectados, mas relatos não confirmados descobertos online sugerem que alguns usuários podem ter recebido dispositivos comprometidos ao comprar componentes de hardware online. Também é interessante notar que o implante CosmicStrand UEFI foi indiscutivelmente usado desde o final de 2016 - muito antes de os ataques UEFI serem descritos publicamente.
CosmicStrand surgiu em 2016
"Embora o rootkit de firmware CosmicStrand UEFI tenha sido descoberto apenas recentemente, parece que já existe há algum tempo. Isso sugere que alguns agentes de ameaças têm recursos muito avançados que garantem que o firmware não seja detectado por tanto tempo. Agora temos que nos perguntar quais novas ferramentas eles desenvolveram nesse meio tempo que ainda não descobrimos”, comenta Ivan Kwiatkowski, Pesquisador de Segurança Sênior da Equipe Global de Pesquisa e Análise da Kaspersky.
Mais em Kaspersky.com
Sobre Kaspersky A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. A profunda inteligência de ameaças e experiência em segurança da Kaspersky serve como base para soluções e serviços de segurança inovadores para proteger empresas, infraestrutura crítica, governos e consumidores em todo o mundo. O abrangente portfólio de segurança da empresa inclui proteção de endpoint líder e uma variedade de soluções e serviços de segurança especializados para se defender contra ameaças cibernéticas complexas e em evolução. Mais de 400 milhões de usuários e 250.000 clientes corporativos são protegidos pelas tecnologias da Kaspersky. Mais informações sobre Kaspersky em www.kaspersky.com/