A Kaspersky egy először 2017-ben azonosított UEFI rootkit új verziójáról közölt információkat, amely bizonyos típusú Gigabyte és Asus alaplapok ellen készült. A biztonsági cég szerint az áldozatok magánszemélyek Kínából, Iránból, Oroszországból és Vietnamból, nem kapcsolhatóak konkrét szervezethez vagy iparághoz.
A CosmicStrand névre keresztelt rootkitet olyan Gigabyte és Asus alaplapok firmware image-eiben találták meg, amelyek mindegyike H81 lapkakészletet használ, ami a Kaspersky szerint utalhat egy közös sérülékenységre, amit a támadók kihasználhattak.
A rootkitek a káros szoftverek egy olyan típusát jelentik, amelyek távoli hozzáférést nyújtanak a fertőzött eszközhöz, megkerülve az operációs rendszert és az eszközre telepített védelmi szoftvereket. A legveszélyesebbek a firmware/UEFI rootkitek, amelyek már az eszközök bootolási folyamatakor lefutnak. Detektálásuk és eltávolításuk rendkívül körülményes, adott esetben hardveres cserére is szükség lehet. Egy sikeresen telepített firmware rootkit a támadók számára hatalmas kincs lehet, azonban alkalmazásuk magasszintű technikai ismereteket igényel, ezért eddig elsősorban az állami támogatású fenyegetési szereplők eszköztárába tartoztak.
Mi tudni jelenleg a CosmicStrandről?
A Kaspersky elemzése szerint a firmware módosításokat egy automatizált patchelő programmal végezhették el, ami feltételezi, hogy a támadó hozzáféréssel rendelkezett az érintett gépekhez, és így volt képes felülírni a firmware-t a káros kódot tartalmazó változattal. Ez lehetséges fizikai hozzáféréssel („evil maid” támadási forgatókönyv), vagy az eszközökre telepített malware implantátum segítségével is kivitelezhető. A kezdeti fertőzési vektor valójában jelenleg nem ismert.
A fertőzött firmware image-ek az elemzés szerint tartalmaznak egy CSMCORE DXE drivert, amely a rendszer indításakor elindít egy futtatási sorozatot, és egy kernel szintű „implantátumot” telepít a Windowsban.
A boot managerben beállított hook lehetővé teszi, hogy a Windows kernel loader módosuljon annak futása előtt. Az indítási folyamat egy későbbi szakaszában meghívott második hook átveszi az irányítást a végrehajtási folyamat felett, és shellcode-ot tud juttatni a memóriába. Az utolsó fázisban a várakozási idő letelte után a kártevő letölti az exploit modult.
A Kaspersky kutatói egy olyan mintát találtak egy fertőzött gép memóriájában, amelyet úgy terveztek, hogy felhasználói fiókokat tudjanak vele létrehozni. A rootkit két változatát azonosították: az egyiket 2016 vége és 2017 közepe között használták, a másik pedig 2020-ban volt aktív, és mindegyik saját parancs- és vezérlőszerverrel (C&C) rendelkezett.
Attribúció
A Kaspersky elemzése szerint a CosmicStrand kínai fenyegetési szereplők körében népszerű erőforrások felhasználásával készült. Egyrészről egyes kódrészletek egy másik malware családdal (MyKings) mutatnak nagy fokú egyezést, amelyben a SOPHOS több kínai nyelvű mintát azonosított 2020-ban. A kínai kötődés egy további ─ noha kiemelten jóval alacsonyabb fokú ─ kapcsolódási pontja, hogy a káros kód által alkalmazott DNS szerver a kínai CHINANET-BACKBONE (AS4134) internetszolgáltatói hálózathoz tartozik.
CosmicStrand támadások legalább 2016 vége óta zajlottak, azaz évekkel megelőzték a Lojax támadásokat, ami az ESET 2018-as felfedezése nyomán ráirányították a figyelmet az UEFI rootkitekek gyakorlati alkalmazására.