Эта вредоносная программа заражает вашу материнскую плату, и ее практически невозможно удалить.
Исследователи обнаружили вредоносное ПО , которое тайно заражало системы с материнскими платами Asus и Gigabyte в течение как минимум шести лет.
Согласно отчету Bleeping Computer , с 2016 года китайскоязычные хакеры внедряют в компьютеры вредоносное ПО CosmicStrand.
Примечательно, что после распространения вредоносного кода он практически не обнаруживается в образах прошивки для некоторых материнских плат. Этот конкретный метод нацеливания на образы встроенного ПО классифицируется как руткит Unified Extensible Firmware Interface (UEFI).
Штамм был назван CosmicStrand исследователями, работающими в фирме по кибербезопасности Kaspersky. Однако предыдущая версия вредоносного ПО, получившая название Spy Shadow Trojan, была первоначально обнаружена аналитиками Qihoo360.
Для справки: UEFI — это важное приложение, которое связывает операционную систему с прошивкой самого оборудования. Таким образом, код UEFI запускается при первоначальном запуске компьютера, даже до каких-либо мер безопасности системы.
В результате вредоносное ПО, помещенное в образ встроенного ПО UEFI, чрезвычайно эффективно уклоняется от мер обнаружения. Однако более тревожным является тот факт, что вредоносное ПО технически невозможно удалить путем чистой переустановки операционной системы. Вы даже не можете избавиться от этого, заменив накопитель.
«Этот драйвер был модифицирован таким образом, чтобы перехватывать последовательность загрузки и внедрять в нее вредоносную логику», — сказал Марк Лехтик, ранее работавший реверс-инженером «Лаборатории Касперского».
«Лаборатория Касперского» заявила, что обнаружила руткит CosmicStrand UEFI в образах прошивки материнских плат Gigabyte или Asus, использующих чипсет H81, который связан с оборудованием, проданным в период с 2013 по 2015 год.
Жертвами CosmicStrand были частные лица, проживающие в Китае, Иране, Вьетнаме и России, поэтому связи с национальным государством, организацией или отраслью установить не удалось. Тем не менее, исследователи подтвердили связь CosmicStrand с китайскоязычным злоумышленником из-за шаблонов кода, которые появились в отдельном ботнете для криптомайнинга.
Касперский подчеркнул, что руткит прошивки CosmicStrand UEFI может более или менее оставаться в зараженной системе навсегда.
Вредоносное ПО UEFI впервые было сообщено в 2018 году другой компанией, занимающейся онлайн-безопасностью, ESET. Известный как LoJax, он использовался российскими хакерами, входившими в группу APT28. С тех пор количество руткитов на основе UEFI, заражающих системы, неуклонно росло, включая ESPecter — набор, который, как говорят, был развернут в целях шпионажа с 2012 года.
В другом месте аналитики безопасности заявили, что ранее в этом году они обнаружили «самую продвинутую» прошивку UEFI в виде MoonBounce.
Это был напряженный год для групп и хакеров, вовлеченных в сообщество вредоносных программ. Совсем недавно злоумышленникам удалось использовать Microsoft Calculator для распространения вредоносного кода , а сама Microsoft запустила новую инициативу , предлагая предприятиям доступ к своим внутренним службам безопасности.