Експерти Касперського виявили новий приклад руткіта UEFI: CosmicStrand. На даний момент набір CosmicStrand призначений лише для приватних осіб, а не для компаній. Але це лише питання часу.
Експерти Касперського виявили руткіт, розроблений учасником Advanced Persistent Threat (APT), який залишається на комп’ютері жертви навіть після перезавантаження операційної системи або перевстановлення Windows. Руткіт програмного забезпечення UEFI «CosmicStrand» досі використовувався в основному для атак на приватних осіб у Китаї, деякі жертви також перебували у В’єтнамі, Ірані та Росії.
Руткіти UEFI є стійкими
Прошивка UEFI є критично важливим компонентом переважної більшості обладнання. Ваш код відповідає за завантаження пристрою та запуск програмного компонента, який завантажує операційну систему. Якщо зловмисникам вдасться розмістити зловмисний код у мікропрограмному забезпеченні UEFI, цей код запускатиметься раніше операційної системи, що може перешкодити рішенням безпеки виявити його активність і таким чином не захистити операційну систему. Це, а також той факт, що мікропрограмне забезпечення знаходиться на окремому чіпі від жорсткого диска, робить атаки на мікропрограмне забезпечення UEFI особливо складними для виявлення та надзвичайно стійкими. Оскільки незалежно від того, скільки разів операційна система перевстановлюється, шкідливе програмне забезпечення залишається на пристрої.
Старий CosmicStrand знову відкритий
CosmicStrand — це останнє відкриття руткіта прошивки UEFI експертами Kaspersky; його приписують раніше невідомому китайськомовному актору APT. Хоча фактична ціль зловмисників ще невідома, дослідники відзначили, що мікропрограма спрямована лише на окремих осіб, а не на звичайні корпорації. Усі скомпрометовані комп’ютери були на базі Windows: кожного разу, коли комп’ютер перезавантажувався, після запуску Windows запускався шкідливий код, метою якого було підключення до сервера C2 (командно-контрольний) і запуск додаткового шкідливого виконуваного файлу для завантажити.
Експерти Касперського поки не змогли визначити, як руткіт потрапив на заражені комп’ютери, але непідтверджені облікові записи, виявлені в Інтернеті, свідчать про те, що деякі користувачі могли отримати скомпрометовані пристрої під час замовлення апаратних компонентів онлайн. Також цікаво відзначити, що імплантат UEFI CosmicStrand, ймовірно, використовувався в дикій природі з кінця 2016 року - задовго до того, як атаки UEFI були навіть публічно описані.
CosmicStrand з'явився ще в 2016 році
«Хоча руткіт мікропрограми UEFI CosmicStrand був виявлений лише нещодавно, схоже, він існує вже досить давно. Це свідчить про те, що деякі зловмисники мають дуже розширені можливості, завдяки яким мікропрограмне забезпечення могло залишатися непоміченим так довго. Тепер ми маємо запитати, які нові інструменти вони розробили за цей час, але нам ще належить відкрити», — коментує Іван Квятковський, старший науковий співробітник відділу глобальних досліджень і аналізу Kaspersky.
Більше на Kaspersky.com
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/