Kaspersky uzmanları, yeni bir UEFI rootkit örneği keşfetti: CosmicStrand. Şu anda CosmicStrand kiti şirketleri değil, yalnızca özel kişileri hedefliyor. Ancak bu değişiklikler sadece bir zaman meselesidir.
Kaspersky uzmanları, Advanced Persistent Threat (APT) aktörü tarafından geliştirilen ve işletim sistemi yeniden başlatıldıktan veya Windows yeniden yüklendikten sonra bile kurbanın bilgisayarında kalan bir rootkit keşfetti. UEFI üretici yazılımı rootkit'i 'CosmicStrand' şimdiye kadar esas olarak Çin'deki özel şahıslara yönelik saldırılar için kullanıldı ve bazı kurbanlar Vietnam, İran ve Rusya'da da bulunuyor.
UEFI rootkit'leri kalıcıdır
UEFI bellenimi, donanımın büyük çoğunluğunda bulunan kritik bir bileşendir. Kodunuz, bir aygıtı başlatmaktan ve işletim sistemini yükleyen yazılım bileşenini başlatmaktan sorumludur. Saldırganlar UEFI üretici yazılımına kötü amaçlı kod yerleştirmeyi başarırsa, bu kod işletim sisteminden önce başlatılır ve bu da güvenlik çözümlerinin onun etkinliğini algılamasını ve dolayısıyla işletim sistemini koruyamamasını engelleyebilir. Buna ek olarak bellenimin sabit sürücüden ayrı bir çipte bulunması gerçeği, UEFI sabit yazılım saldırılarının tespit edilmesini özellikle zorlaştırır ve son derece kalıcı hale getirir. Çünkü işletim sistemi kaç kez yeniden yüklenirse kurulsun, kötü amaçlı yazılım cihazda kalır.
Eski CosmicStrand yeniden keşfedildi
CosmicStrand, Kaspersky uzmanları tarafından bir UEFI aygıt yazılımı rootkit'inin en son keşfidir; daha önce bilinmeyen Çince konuşan bir APT aktörüne atfedilir. Saldırganların gerçek hedefi henüz bilinmemekle birlikte araştırmacılar, aygıt yazılımının olağan şirketleri değil, yalnızca bireyleri hedef aldığını belirtti. Ele geçirilen bilgisayarların tümü Windows tabanlıydı: Bir bilgisayar her yeniden başlatıldığında, Windows başlatıldıktan sonra kötü amaçlı kod çalışıyordu; bunun amacı, bir C2 (Komut-ve-Kontrol) sunucusuna bağlanmak ve indirilecek ek bir kötü amaçlı yürütülebilir dosyayı çalıştırmaktı. .
Kaspersky uzmanları, rootkit'in virüslü bilgisayarlara nasıl bulaştığını henüz belirleyemedi, ancak çevrimiçi keşfedilen doğrulanmamış hesaplar, bazı kullanıcıların çevrimiçi donanım bileşenleri sipariş ederken güvenliği ihlal edilmiş cihazlar almış olabileceğini gösteriyor. CosmicStrand UEFI implantının, UEFI saldırılarının kamuya açıklanmasından çok önce, 2016'nın sonlarından beri vahşi doğada tartışmalı bir şekilde kullanıldığını not etmek de ilginçtir.
CosmicStrand 2016'da ortaya çıktı
"CosmicStrand UEFI üretici yazılımı rootkit'i daha yeni keşfedilmiş olsa da, oldukça uzun bir süredir ortalıkta dolaşıyor gibi görünüyor. Bu, bazı tehdit aktörlerinin, bellenimin bu kadar uzun süre tespit edilmeden kalmasını sağlayan çok gelişmiş yeteneklere sahip olduğunu gösteriyor. Kaspersky'nin Küresel Araştırma ve Analiz Ekibi Kıdemli Güvenlik Araştırmacısı Ivan Kwiatkowski, "Şimdi, bu arada henüz keşfetmediğimiz hangi yeni araçları geliştirdiklerini merak etmemiz gerekiyor."
Kaspersky.com'da daha fazlası
Kaspersky Hakkında Kaspersky, 1997 yılında kurulmuş uluslararası bir siber güvenlik şirketidir. Kaspersky'nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya çapında işletmeleri, kritik altyapıları, hükümetleri ve tüketicileri korumaya yönelik yenilikçi güvenlik çözümlerinin ve hizmetlerinin temelini oluşturur. Şirketin kapsamlı güvenlik portföyü, karmaşık ve gelişen siber tehditlere karşı savunma için lider uç nokta koruması ve bir dizi özel güvenlik çözümü ve hizmeti içerir. 400 milyondan fazla kullanıcı ve 250.000 kurumsal müşteri, Kaspersky teknolojileri tarafından korunmaktadır. www.kaspersky.com/ adresinde Kaspersky hakkında daha fazla bilgi