Rootkit to jeden z najniebezpieczniejszych rodzajów złośliwego oprogramowania, które może zainfekować Twój komputer. W lipcu 2022 r. Kaspersky odkrył rootkita, który atakuje oprogramowanie układowe UEFI płyt głównych Gigabyte i Asus z chipsetem Intel H81. Ten rootkit o nazwie CosmicStrand może stanowić poważne zagrożenie dla komputera, ponieważ jego twórcą są aktorzy Advanced Persistent Threats (ATP).
Słyną z tworzenia śmiertelnych zagrożeń dostępu do komputerów i sieci oraz kontrolowania ich. Co zaskakujące, maksymalna liczba ataków CosmicStrand przydarzyła się lokalnym obywatelom Chin, Rosji, Wietnamu i Iranu, a nie organizacjom biznesowym.
Co to jest CosmicStrand i do czego służy?
CosmicStrand to rootkit, który daje atakującym pełną kontrolę nad Twoim komputerem bez twojej wiedzy. Pozostaje niewykryty przez żadne tradycyjne środki bezpieczeństwa po potajemnym zainstalowaniu na Oprogramowanie układowe UEFI urządzenia z systemem Windows.
Poza tym rootkit CosmicStrand może pozostać ukryty na urządzeniu ofiary nawet po ponownej instalacji lub naprawie systemu operacyjnego Windows. Ta umiejętność sprawia, że jest to bardzo niebezpieczne i coś, czego nie można lekceważyć.
Ten rootkit umożliwia atakującemu robienie wszystkiego, co chce na twoim komputerze, w tym kradzież poufnych informacji, instalowanie innego złośliwego oprogramowania, a nawet przejęcie całego systemu.
Jak instaluje się CosmicStrand na komputerach?
Według badacza z Kasperskyhakerzy byli w stanie zainstalować CosmicStrand na oprogramowaniu ofiary, dokonując modyfikacji sterownika CSMCORE DXE. Ta modyfikacja zmusza sterownik do uruchomienia serii kodów podczas uruchamiania systemu, które uruchamiają pobieranie i instalację komponentu CosmicStrand.
Badając obrazy zainfekowanego oprogramowania układowego, badacze odkryli, że osoby atakujące dokonały modyfikacji w CSMCORE Sterownik DXE poprzez uzyskanie wcześniejszego dostępu do komputera ofiary i nadpisanie oprogramowania układowego w celu wprowadzenia automatycznego łatacz. Ten automatyczny patcher jest odpowiedzialny za przekierowanie punktu wejścia sterownika CSMCORE DXE do złośliwego kodu zapisanego w pliku RELOC pliku wykonywalnego.
Jak możesz chronić swój system przed CosmicStrand i innymi rootkitami?
Najlepszym sposobem ochrony systemu przed CosmicStrand i innymi rootkitami jest zainstalowanie solidnego rozwiązania bezpieczeństwa, które może wykrywać i usuwać takie zagrożenia.
Należy również aktualizować system operacyjny i całe oprogramowanie za pomocą najnowszych poprawek zabezpieczeń. Pomoże to zamknąć wszelkie luki, których atakujący mogą użyć, aby dostać się do twojego systemu. Powinieneś przeprowadzić aktualizacje oprogramowania układowego i wszystkie inne niezbędne aktualizacje za pośrednictwem oficjalnych, wiarygodnych źródeł.
Niezbędne jest również regularne tworzenie kopii zapasowych danych, aby można było przywrócić system na wypadek, gdyby został zainfekowany rootkitem lub innym złośliwym oprogramowaniem.
Poza tym najlepiej byłoby ćwiczyć również podstawowe środki bezpieczeństwa, takie jak nieklikanie nieznanych linków lub załączników, nie pobieranie pirackiego oprogramowania lub treści z niewiarygodnych witryn internetowych oraz nieudostępnianie swoich danych osobowych z kimkolwiek. To ci pomoże chroń się przed atakami socjotechnicznymi.
Czy powinieneś się martwić o ComicStrand?
Według stanu na sierpień 2022 r. istnieje bardzo niewiele przypadków ataków rootkitami ComicStrand. Jednak biorąc pod uwagę wyrafinowanie rootkita i jego zdolność do pozostawania w ukryciu, w przyszłości możemy zobaczyć więcej ataków. Ponadto, do tej pory na liście docelowej ComicStrand znajdują się tylko konkretne płyty główne Gigabyte i Asus, ale możliwe jest, że zagrożeni są również inni producenci płyt głównych.
Jeśli masz płytę główną Gigabyte lub Asus z chipsetem Intel H81, koniecznie sprawdź, czy Twój system jest zainfekowany i jeśli wykryjesz rootkita, podejmij kroki, aby go usunąć. Powinieneś również zainstalować niezawodne rozwiązanie bezpieczeństwa, aby chronić swój system przed takimi zagrożeniami w przyszłości.
Chociaż rootkit ComicStrand nie jest powszechnym zagrożeniem, ważne jest, aby być tego świadomym i podjąć kroki w celu ochrony systemu.
