Bezpieczeństwo w sieci

CosmicStrand straszy użytkowników Windows na płytach Gigabyte i ASUS-a

JS
Jakub Szczęsny
8

Niezależnie od tego, ile razy nie przeinstalowywałbyś Windows - nie usuniesz tego cyberzagrożenia, bo jest ono "wplecone" w firmware, czyli oprogramowanie które zawiaduje Twoim komputerem na bardzo niskim poziomie. Rootkit UEFI - CosmicStrand nieoczekiwanie stał się bardzo głośnym zagrożeniem - jego początki sięgają okolic 2016 roku.

Rootkit zaszyty w UEFI jest tak bardzo niebezpieczny dlatego, że detekcja takiego zagrożenia jest niezwykle trudna. Przy okazji - czegokolwiek byśmy nie zrobili z Windows, ilekroć byśmy nie zmieniali dysku - nie będziemy w stanie uchronić się w żaden sposób. Również i sam system operacyjny, na którym jest aktywny pakiet antywirusowy - nie powie nam nic na temat tego, czy dzieje się coś złego w UEFI. Po uruchomieniu Windows, zaszyty w firmware rootkit uruchamia szkodliwe instrukcje, które mogą między innymi zawierać instrukcje dotyczące utworzenia nowego konta użytkownika z uprawnieniami administratora - oczywiście po to, aby uzyskać kontrolę nad maszyną. Komponent odpowiadający za komunikację z serwerem kontroli cyberzagrożenia jest w stanie pobierać także i inne elementy złośliwego oprogramowania - w zależności rzecz jasna od intencji oraz potrzeb przestępców.

Cybeprzestępcy mają tutaj spore pole do popisu - mogą wysyłać do maszyny kod, który jest potrzebny do pobrania na przykład programów wykonywalnych zawierających dalsze złośliwe instrukcje. Wachlarz działań jest przeogromny i badacze najprawdopodobniej nie odkryli jeszcze wszystkich możliwości wynikających z użycia CosmicStranda. Możliwe, że to oprogramowanie zostało użyte już do tego, aby z powodzeniem dokonywać kradzieży danych lub nawet pieniędzy - choć nie ma jeszcze na to dowodów. Za analizę CosmicStranda wzięli się między innymi specjaliści z Kaspersky'ego. Co ciekawe, CosmicStrand ma być nowszym wariantem już wcześniej opisanego pododbnego rootkita UEFI.

Rootkity UEFI nie są czymś częstym na "rynku" złośliwego oprogramowania - tajemniczość i wysoki poziom zakonspirowania powodują, że z tymi zagrożeniami jest bardzo trudno walczyć. Jak na razie udowodniono, że niebezpieczny kod pojawiał się w UEFI płyt głównych ASUS-a oraz Gigabyte - chodzi przede wszystkim o te, które dzielą między sobą chipset H81, który pozwala na używanie procesorów Intel z serii 8. Tyle dobrego, że chodzi tutaj już o raczej starsze konstrukcje, które w wielu przypadkach już zostały zastąpione przez nowsze urządzenia. W niektórych firmach jednak najpewniej można znaleźć urządzenia, które cały czas bazują na komponentach z tamtych lat i wśród nich mogą być płyty główne od ASUS-a oraz Gigabyte objęte tym problemem.

Możliwe, że rootkitów UEFI jest więcej, tylko wykrywalność jest słaba

W roku 2016 - czyli wtedy, kiedy wyprodukowano ostatnią płytę główną z chipsetem H81, rootkity UEFI uznawano za bardzo, bardzo egzotyczną rzecz, której należy obawiać się ze strony przestępców. Okazuje się jednak, że już od dłuższego czasu może być mowa o bardzo udanych atakach na oprogramowanie układowe komputerów. Nie jest jasne, w jaki sposób CosmicStrand dostawał się do urządzeń - to w dalszym ciągu jest obiektem analiz.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu