В продължение на години някои дънни платки на Gigabyte и Asus носеха злонамерен софтуер UEFI

В контекст: Фирма за сигурност ESET открити първият руткит за UEFI, който беше използван в природата през 2018 г. Този тип постоянна заплаха беше обект на теоретични дискусии сред изследователите на сигурността, но през последните години стана ясно, че е много по-често срещан, отколкото се смяташе досега , въпреки че е относително труден за развитие.

Тази седмица изследователите на Kaspersky разкри нов фърмуерен руткит, наречен “CosmicStrand”, за който се смята, че е дело на неизвестна група китайски злонамерени актьори.

Изследователите обясняват, че руткитът е открит в изображения на фърмуер на няколко дънни платки на Asus и Gigabyte, оборудвани с чипсет Intel H81, един от най-дълго живеещите чипсети от ерата на Haswell, който най-накрая беше прекратен през 2020 г.

Тъй като фърмуерът на UEFI е първата част от кода, която се изпълнява, когато включите компютър, това прави CosmicStrand особено труден за премахване в сравнение с други видове зловреден софтуер. Руткитите на фърмуера също са по-трудни за откриване и проправят пътя на хакерите да инсталират допълнителен злонамерен софтуер на целевата система.

Простото изтриване на хранилището във вашия компютър няма да премахне инфекцията, нито пък пълната подмяна на устройствата за съхранение. UEFI е по същество малка операционна система, която живее в енергонезависим чип с памет, обикновено запоен на дънната платка. Това означава, че премахването на CosmicStrand изисква специални инструменти за повторно изобразяване на флаш чипа, докато компютърът е изключен. Всичко друго би оставило компютъра ви в заразено състояние.

Досега изглежда, че само Windows системите в страни като Русия, Китай, Иран и Виетнам са били компрометирани. Имплантът UEFI обаче се използва в дивата природа от края на 2016 г., което повдига възможността този тип инфекция да е по-често срещана, отколкото се предполагаше преди.

През 2017 г. охранителната фирма Qihoo360 открити какво би могло да бъде ранен вариант на CosmicStrand. През последните години изследователите откриха допълнителни UEFI руткитове като MosaicRegressor, FinSpyESpecter и MoonBounce.

Що се отнася до CosmicStrand, това е много мощен зловреден софтуер с размер под 100 килобайта. Не се знае много за това как се е озовало в целевите системи, но начинът, по който работи е прост. Първо, той заразява процеса на зареждане, като задава така наречените „кукички“ в определени точки от потока на изпълнение, като по този начин добавя функционалността, от която атакуващият трябва да модифицира зареждащото устройство на ядрото на Windows, преди да бъде изпълнено.

Оттам нападателите могат да инсталират друга кука под формата на функция в ядрото на Windows, която се извиква в последващ процес на зареждане. Тази функция разгръща шелкод в паметта, който може да се свърже със сървър за командване и контрол и да изтегли допълнителен зловреден софтуер на заразения компютър.

CosmicStrand може също да деактивира защитата на ядрото като PatchGuard (известна като Microsoft Kernel Patch Protection), която е ключова функция за сигурност на Windows. Има и някои прилики по отношение на кодовите модели между CosmicStrand и злонамерения софтуер, свързан с него Ботнет MyKingsкойто е бил използван за разполагане на криптокопачи на компютрите на жертвите.

Изследователите на Kaspersky се притесняват, че CosmicStrand може да е един от многото фърмуер руткитове, които са успели да останат скрити в продължение на години. Те отбелязват, че „множеството руткитове, открити досега, доказват сляпо петно ​​в нашата индустрия, което трябва да бъде разгледано по-рано, отколкото по-късно“.