Исследователи «Лаборатории Касперского» обнаружили новый руткит прошивки UEFI, который получил название CosmicStrand.
Как отмечают эксперты, зловред остаётся на компьютере жертвы даже после перезагрузки операционной системы или переустановки Windows. Эта особенность усложняет его обнаружение.
Напомним, руткит — это класс вредоносных программ, скрытно действующих в заражённой системе и обладающих специальными средствами, затрудняющими их обнаружение системами безопасности.
Создание CosmicStrand эксперты приписывают ранее неизвестной китайскоязычной APT-группе. И, хотя пока неясно, какую цель преследуют злоумышленники, отмечается что их жертвами становились частные пользователи в Китае, Вьетнаме, Иране и России.
Все атакуемые CosmicStrand устройства были на базе Windows: каждый раз во время перезагрузки после запуска Windows уже на уровне ОС запускался небольшой фрагмент вредоносного кода. Этот загрузчик подключался к C&C-серверу и получал оттуда следующие исполняемые файлы.
Ведущий эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо пояснил:
Прошивка UEFI — важная составляющая современного ПК. Её код отвечает за начальную загрузку устройства и запуск операционной системы. Если в UEFI есть вредоносный код, то он активируется ещё до запуска операционной системы. Из-за этого активность вредоноса становится невидимой для многих защитных решений, работающих на уровне ядра ОС. Тот факт, что прошивка находится на флеш-памяти на материнской плате, а не на жёстком диске, также способствует тому, что атаки CosmicStrand сложно детектируются. Сейчас защитные решения „Лаборатории Касперского“ успешно обнаруживают и блокируют этот зловред, и мы продолжаем регулярно актуализировать базы угроз.