Специалисты «Лаборатории Касперского» нашли новый руткит для прошивки UEFI
«Лаборатория Касперского» заявила об обнаружении нового руткита для прошивки UEFI. Он получил название CosmicStrand. Вредонос остаётся на заражённом компьютере даже после перезагрузки операционной системы (ОС) или её переустановки. Данная особенность затрудняет обнаружение зловреда. Эксперты заявили пока только о Windows-системах, про Linux-системы и MacOS-системы ничего не сказано.
Эксперты приписывают создание руткита CosmicStrand неизвестной китайскоязычной APT-группе. Также неизвестно, какую цель носят атаки с помощью данного вредоноса. Однако исследователи кибербезопасности отмечают, что их жертвами становились частные пользователи в Китае, Вьетнаме, Иране и России.
Пока известно — все атакуемые CosmicStrand устройства были на базе ОС Windows. Каждый раз во время перезагрузки ПК и после запуска Windows на уровне ОС запускался небольшой фрагмент вредоносного кода. Это был загрузчик, который подключался к C&C-серверу и получал с него определённые исполняемые файлы. Кроме того, исследователи заметили — руткит находится в образах встроенного ПО материнских плат Gigabyte или ASUS, и что все эти образы связаны со сборками на чипсете Intel H81. Более подробный анализ CosmicStrand и его компонентов представлен здесь.
Денис Легезо Ведущий эксперт по кибербезопасности «Лаборатории Касперского»
«Прошивка UEFI — важная составляющая современного ПК. Её код отвечает за начальную загрузку устройства и запуск операционной системы. Если в UEFI есть вредоносный код, то он активируется ещё до запуска операционной системы. Из-за этого активность вредоноса становится невидимой для многих защитных решений, работающих на уровне ядра ОС. Тот факт, что прошивка находится на флеш-памяти на материнской плате, а не на жёстком диске, также способствует тому, что атаки CosmicStrand сложно детектируются».
