Руткит — это один из самых опасных типов вредоносных программ, которые могут заразить ваш компьютер. В июле 2022 года «Лаборатория Касперского» обнаружила руткит, специально нацеленный на прошивку UEFI материнских плат Gigabyte и Asus с набором микросхем Intel H81. Этот руткит под названием CosmicStrand может представлять серьезную угрозу для вашего компьютера, поскольку его разработчиком являются акторы Advanced Persistent Threats (ATP).
Они печально известны тем, что создают смертельные угрозы для доступа и контроля компьютеров и сетей. Удивительно, но максимальные атаки CosmicStrand произошли с местными жителями Китая, России, Вьетнама и Ирана, а не с коммерческими организациями.
Что такое CosmicStrand и что он делает?
CosmicStrand — это руткит, дающий злоумышленникам полный контроль над вашим компьютером ничего не зная. Он остается незамеченным любым типом традиционных мер безопасности после того, как скрытно установлен на Прошивка UEFI вашего устройства Windows.
Кроме того, руткит CosmicStrand имеет возможность оставаться скрытым на устройстве жертвы даже после переустановки или восстановления операционной системы Windows. Эта способность делает его очень опасным, и к нему нельзя относиться легкомысленно.
Этот руткит позволяет злоумышленнику делать на вашем компьютере все, что он хочет, включая кражу конфиденциальной информации, установку других вредоносных программ и даже захват всей системы.
Как CosmicStrand устанавливается на компьютеры?
По словам исследователя из Касперский, хакеры смогли установить CosmicStrand на прошивку жертвы, внеся изменения в драйвер CSMCORE DXE. Эта модификация заставляет драйвер запускать серию кодов при запуске системы, которые запускают загрузку и установку компонента CosmicStrand.
Изучив зараженные образы прошивки, исследователи обнаружили, что злоумышленники внесли изменения в CSMCORE. Драйвер DXE, получив предварительный доступ к компьютеру жертвы и перезаписав прошивку, чтобы ввести автоматизированный патчер. Этот автоматический патчер отвечает за перенаправление точки входа драйвера CSMCORE DXE на вредоносный код, хранящийся в исполняемом файле RELOC.
Как вы можете защитить свою систему от CosmicStrand и других руткитов?
Лучший способ защитить вашу систему от CosmicStrand и других руткитов — установить надежное защитное решение, способное обнаруживать и устранять такие угрозы.
Вы также должны обновлять свою операционную систему и все программное обеспечение с помощью последних исправлений безопасности. Это поможет закрыть любые лазейки, которые злоумышленники могут использовать для проникновения в вашу систему. Вам следует выполнять обновления прошивки и все другие важные обновления через официальные, надежные источники.
Также важно регулярно создавать резервные копии ваших данных, чтобы вы могли восстановить свою систему в случае ее заражения руткитом или любым другим вредоносным ПО.
Помимо этого, было бы лучше, если бы вы также практиковали основные меры безопасности, такие как не нажимать на неизвестные ссылки или вложения, не загружать пиратское программное обеспечение или контент с ненадежных веб-сайтов и не передавать вашу личную информацию с кем. Это поможет вам защитить себя от атак социальной инженерии.
Стоит ли беспокоиться о ComicStrand?
По состоянию на август 2022 года случаев руткит-атак ComicStrand очень мало. Однако, учитывая сложность руткита и его способность оставаться скрытым, в будущем мы можем увидеть больше атак. Кроме того, пока что в целевой список ComicStrand входят только определенные материнские платы от Gigabyte и Asus, но не исключено, что и другие производители материнских плат также находятся в зоне риска.
Если у вас есть материнская плата Gigabyte или Asus с набором микросхем Intel H81, обязательно проверьте, не заражена ли ваша система, и, если вы обнаружите руткит, примите меры для его удаления. Вам также следует установить надежное защитное решение для защиты вашей системы от таких угроз в будущем.
Хотя руткит ComicStrand не является широко распространенной угрозой, крайне важно знать о нем и принимать меры для защиты вашей системы.