Investigadores da Kaspersky alertam para rootkit desenvolvido por um grupo avançado de ameaça persistente (APT) que permanece na máquina da vítima mesmo que o sistema operativo seja reiniciado ou o Windows reinstalado – tornando-o muito perigoso a longo prazo. Denominado "CosmicStrand", este firmware UEFI rootkit foi utilizado principalmente para atacar indivíduos na China, com casos identificados também no Vietname, Irão e Rússia.

O firmware UEFI é um componente crítico na grande maioria do hardware. O seu código é responsável pelo arranque de um dispositivo, lançando o componente de software que carrega o sistema operativo. Se o firmware UEFI for modificado de alguma forma para conter código malicioso, esse código será lançado antes do sistema operativo, tornando a sua atividade potencialmente invisível às soluções de segurança e às defesas do sistema operativo. Isto, e o facto de o firmware residir num chip separado do disco rígido, torna os ataques contra o firmware UEFI excecionalmente evasivos e persistentes – porque independentemente de quantas vezes o sistema operativo for reinstalado, o malware permanecerá no dispositivo.

CosmicStrand, a recente descoberta do firmware UEFI feita pelos investigadores da Kaspersky, é atribuída a um agente malicioso de língua chinesa até agora desconhecido. Embora o objetivo final dos atacantes continue por identificar, observou-se que as vítimas afetadas eram utilizadores individuais – ao contrário dos computadores das empresas.

Todas as máquinas atacadas tinham como sistema operativo o Windows: sempre que um computador era reiniciado, um pouco do código malicioso era executado após o arranque do Windows. O seu objetivo era ligar-se a um servidor C2 (comando e controlo) e descarregar um executável malicioso adicional.

Os investigadores não conseguiram determinar como o rootkit conseguiu alcançar as máquinas infetadas, mas contas online identificadas online indicam que alguns utilizadores receberam dispositivos comprometidos ao encomendar componentes de hardware online.

O aspeto mais marcante do CosmicStrand é que o implante UEFI parece estar em utilização desde 2016 – muito antes dos ataques UEFI terem começado a ser descritos publicamente.

 

"Apesar de ter sido recentemente descoberto, o CosmicStrand UEFI firmware rootkit parece estar a ser implementado há bastante tempo. Isto indica que alguns agentes de ameaça têm tido capacidades muito avançadas que conseguiram esconder desde 2017. Resta-nos perguntar que novas ferramentas criaram entretanto e que ainda estão por descobrir". comenta Ivan Kwiatkowski, Senior Security Researcher at Global Research and Analysis Team (GReAT) da Kaspersky.

 

Uma análise mais detalhada do CosmicStrand e dos seus componentes é apresentada na Securelist.

Classifique este item
(0 votos)
Ler 1156 vezes
Tagged em
Top