Результаты, полученные специалистами в ходе изучение руткита CosmicStrand, говорят о том, что вредоносное ПО UEFI может быть более распространенным, чем считалось ранее.
Специалисты компании ESET обнаружили первый руткит UEFI, который использовался в «дикой природе» еще в 2018 году. Этот тип постоянной угрозы раньше был предметом теоретических дискуссий среди исследователей безопасности, но за последние годы стало ясно, что он гораздо более распространен, чем считалось ранее, несмотря на трудности его разработки.
На этой неделе исследователи Касперского показали новый руткит прошивки под названием «CosmicStrand», который, как полагают, является работой неизвестной группы китайских злоумышленников.
Исследователи объясняют, что руткит был обнаружен в образах прошивки нескольких материнских плат Asus и Gigabyte, оснащенных чипсетом Intel H81, одним из самых долгоживущих чипсетов эпохи Haswell, который был окончательно снят с производства в 2020 году.
Поскольку прошивка UEFI является первым фрагментом кода, который запускается при включении компьютера, это делает CosmicStrand особенно трудным для удаления по сравнению с другими типами вредоносных программ. Руткиты прошивки также сложнее обнаружить и эта сложность открывает путь хакерам для установки дополнительных вредоносных программ на целевую систему.
Простая очистка хранилища на вашем ПК не удалит заражение, как и полная замена запоминающих устройств. UEFI - это, по сути, небольшая операционная система, которая живет внутри энергонезависимого чипа памяти, обычно припаянного к материнской плате. Это означает, что для удаления CosmicStrand требуются специальные инструменты для повторного создания образа флэш-чипа во время выключения ПК. Все остальное оставит ваш компьютер в зараженном состоянии.
До сих пор, похоже, только системы Windows в таких странах, как Россия, Китай, Иран и Вьетнам, были скомпрометированы. Тем не менее, имплантат UEFI используется в дикой природе с конца 2016 года, что повышает вероятность того, что этот тип инфекции более распространен, чем предполагалось ранее.
Еще в 2017 году исследователи из компании Qihoo360, специализирующейся на безопасности, обнаружили то, что могло быть ранним вариантом CosmicStrand. А в последние годы подобные руткиты UEFI, такие как MosaicRegressor, FinSpy, ESpecter и MoonBounce, обнаруживались многими компаниями, чьей сферой является обеспечение цифровой безопасности.
Что касается CosmicStrand, это очень мощное вредоносное ПО размером менее 100 килобайт. Не так много известно о том, как он оказался на целевых системах, но его «работа» поражает своей простотой. Во-первых, он заражает процесс загрузки, устанавливая так называемые «хуки» в определенные точки потока выполнения, тем самым добавляя функциональность, необходимую злоумышленнику для изменения загрузчика ядра Windows перед его выполнением.
Оттуда злоумышленники могут установить еще один хук в виде функции в ядре Windows, которая вызывается в последующем процессе загрузки. Эта функция развертывает в памяти код оболочки, который может связаться с командно-контрольным сервером и загрузить дополнительные вредоносные программы на зараженный ПК.
Хук в программировании — перехват (англ. hooking) — технология, позволяющая изменить стандартное поведение тех или иных компонентов информационной системы.
CosmicStrand также может отключить защиту ядра, такую как PatchGuard (известная как Microsoft Kernel Patch Protection), которая является важной функцией безопасности Windows. Есть также некоторые сходства с точки зрения шаблонов кода между CosmicStrand и вредоносным ПО, связанным с ботнетом MyKings, который использовался для развертывания криптомайнеров на компьютерах жертв.
Исследователи Лаборатории Касперского обеспокоены тем, что CosmicStrand может быть одним из многих руткитов прошивки, которым удалось оставаться скрытыми в течение многих лет. Неясность его проникновения и трудность обнаружения вызывает серьезные опасения специалистов, разрабатывающих решения безопасности.
«Обнаружение многочисленных руткитов в последнее время, свидетельствует о слепой зоне в нашей отрасли, которую необходимо устранить И лучше это сделать как можно раньше».
— Лаборатория Касперского