CosmicStrand UEFI firmware rootkit
A Kaspersky kutatói CosmicStrandnek nevezték el azt a gyakorlatilag észrevétlen, az ASUS és Gigabyte alaplappal rendelkező gépeket kihasználó, UEFI rootkitet, amit a közelmúltban elemeztek.
Az Unified Extensible Firmware Interface (UEFI) összeköti a számítógép operációs rendszerét a hardver firmware-ével. Az UEFI az első, amely a számítógép indítási folyamata során elindul, megelőzve az operációs rendszert és az egyéb programokat. Az UEFI firmware-be ültetett rosszindulatú programokat nemcsak nehéz azonosítani, de rendkívül tartósak is, mivel nem távolíthatók el az operációs rendszer újratelepítésével.
A Kaspersky jelentése technikai részletekkel szolgál a CosmicStrand-ról, a fertőzött UEFI-komponenstől a kernelszintű implantátum telepítéséig a Windows rendszerbe minden indításkor.
Míg a Kaspersky felfedezett CosmicStrand-változata frissebb, a Qihoo360 kutatói 2017-ben hozták nyilvánosságra az első részleteket a kártevő korai verziójáról. A kínai kutatók azután kezdték el elemezni az implantátumot, hogy egy áldozat arról számolt be, hogy számítógépük új fiókot hozott létre és a víruskereső szoftver folyamatosan figyelmeztetett egy fertőzésére. Beszámolójuk szerint a kompromittált rendszer egy használt ASUS alaplapon futott, amelyet a tulajdonos egy webáruházból vásárolt.
A kutatók azonban összekapcsolták a CosmicStrandot egy kínaiul beszélő szereplővel olyan kódminták alapján, amelyek a MyKings botnetben is megtalálhatók voltak, ahol a Sophos malware elemzői kínai nyelvű termékeket találtak.
A Kaspersky szerint a CosmicStrand UEFI firmware rootkit a számítógép teljes élettartama alatt megmaradhat a rendszeren és 2016 vége óta használják.