Det er ikke kun kinesiske produkter der findes malware, det er også i Motherboard af de mere kendte fabrikater Gigabyte og Asus. Denne malware er placeret af kinesiske hackergrupper der arbejder for Kina.
Siden 2016 har dette rootkit ligget i images på selve motherboardet og kan ikke findes, fjernes eller standses.
Det er Kasperky’s forskere har afsløret et rootkit udviklet som en avanceret ikke sporbar vedvarende trussel, der forbliver på offerets maskine, selvom operativsystemet genstartes eller Windows geninstalleres – hvilket gør det meget farligt i det lange løb. Det kaldte den COSMIC STRAND og dette UEFI-firmware-rootkit er øjensynligt primært brugt til at angribe privatpersoner i Kina, med sjældne tilfælde i Vietnam, Iran og Rusland.
UEFI-firmware er en kritisk komponent i langt størstedelen af hardwaren. Dens kode er ansvarlig for at starte en enhed op og starte softwarekomponenten, der indlæser operativsystemet. Hvis UEFI-firmwaren på en eller anden måde ændres til at indeholde ondsindet kode, vil denne kode blive lanceret før operativsystemet, hvilket gør dens aktivitet potentielt usynlig for sikkerhedsløsninger og for operativsystemets forsvar. Dette sammen med det faktum, at firmwaren ligger på en chip, der er adskilt fra harddisken, gør angreb mod UEFI-firmware usædvanligt undvigende og vedholdende. Uanset hvor mange gange operativsystemet geninstalleres, forbliver malware på enheden.
CosmicStrand, som er en af de seneste opdagelser foretaget af Kasperskys forskere, tilskrives en tidligere ukendt kinesisk talende skuespiller. Mens det endelige mål, der forfølges af angriberne, forbliver ukendt, det blev observeret, at de berørte ofre var individuelle brugere, i modsætning til virksomhedscomputere.
Alle de angrebne maskiner var Windows-baserede. Hver gang en computer genstartet, blev en smule ondsindet kode udført efter Windows startede. Dens formål var at oprette forbindelse til en C2 (kommando-og-kontrol) server og downloade en ekstra ondsindet eksekverbar kode.
Forskerne var ude af stand til at bestemme, hvordan rootkit endte på de inficerede maskiner i første omgang, men ubekræftede konti opdaget online indikerer, at nogle brugere har modtaget kompromitterede enheder, mens de bestiller hardwarekomponenter online.
Det mest slående aspekt af CosmicStrand er, at UEFI-implantatet ser ud til at have været brugt i hele verden siden slutningen af 2016, længe før UEFI-angreb begyndte at blive offentligt beskrevet.
“På trods af at det for nylig blev opdaget, synes CosmicStrand UEFI-firmware-rootkittet at have været implementeret i temmelig lang tid,”
“Det tyder på, at nogle trusselsaktører har haft meget avancerede kapaciteter, som de har formået at holde sig under radaren siden 2017.”
“Vi er overladt til at undre os over, hvilke nye værktøjer de har skabt i mellemtiden, som vi endnu ikke har opdaget.”
Ivan Kwiatkowski, senior sikkerhedsforsker ved Global Research and Analysis Team (GReAT) hos Kaspersky.
Hvis du vil være beskyttet så kontakt os for mere
Tegn et abonnement hos ICARE A/S så du er beskyttet mod de nyeste trusselsefterretninger. Ring 31971111 for nærmeste forhandler.
- Selve den tekniske information findes på Securelist: https://securelist.com/cosmicstrand-uefi-firmware-rootkit/106973/