Questo malware infetta la tua scheda madre ed è quasi impossibile da rimuovere
I ricercatori hanno scoperto malware che infetta segretamente i sistemi dotati di schede madri Asus e Gigabyte da almeno sei anni.
Dal 2016, gli hacker di lingua cinese si sono infiltrati nelle macchine con il malware CosmicStrand, secondo un rapporto di Bleeping Computer .
In particolare, una volta che il codice dannoso è stato distribuito, rimane in gran parte inosservato all’interno delle immagini del firmware per alcune schede madri. Questo particolare metodo di targeting delle immagini del firmware è classificato come rootkit UEFI (Unified Extensible Firmware Interface).
Il ceppo è stato chiamato CosmicStrand dai ricercatori che lavorano per l’azienda di sicurezza informatica Kaspersky. Tuttavia, una versione precedente del malware, denominata Spy Shadow Trojan, è stata inizialmente scoperta dagli analisti di Qihoo360.
Per riferimento, UEFI è un’applicazione importante che collega un sistema operativo con il firmware dell’hardware stesso. In quanto tale, il codice UEFI è ciò che viene eseguito all’avvio iniziale di un computer, anche prima di qualsiasi misura di sicurezza del sistema.
Di conseguenza, il malware che è stato inserito nell’immagine del firmware UEFI è estremamente efficace nell’elusione delle misure di rilevamento. Più preoccupante, tuttavia, è il fatto che il malware non può essere tecnicamente rimosso eseguendo una reinstallazione pulita del sistema operativo. Non puoi nemmeno sbarazzartene sostituendo l’unità di archiviazione.
“Questo driver è stato modificato in modo da intercettare la sequenza di avvio e introdurre una logica dannosa”, ha affermato Mark Lechtik, che in precedenza ha lavorato come reverse engineer di Kaspersky.
Kaspersky ha affermato di aver scoperto che il rootkit CosmicStrand UEFI è stato scoperto nelle immagini del firmware delle schede madri Gigabyte o Asus che utilizzano il chipset H81, associato all’hardware venduto tra il 2013 e il 2015.
Le vittime di CosmicStrand erano individui privati con sede in Cina, Iran, Vietnam e Russia, e quindi non è stato possibile stabilire collegamenti con uno stato nazionale, un’organizzazione o un’industria. Detto questo, i ricercatori hanno confermato un collegamento CosmicStrand a un attore di minacce di lingua cinese a causa di modelli di codice che sono apparsi in una botnet di criptovaluta separata.
Kaspersky ha sottolineato che il rootkit del firmware UEFI CosmicStrand può rimanere più o meno per sempre su un sistema infetto.
Il malware UEFI è stato segnalato per la prima volta nel 2018 da un’altra società di sicurezza online, ESET. Conosciuto come LoJax, è stato utilizzato da hacker russi che appartenevano al gruppo APT28. Da allora, la quantità di rootkit basati su UEFI che infettano i sistemi è aumentata costantemente, incluso ESPecter, un kit che si dice sia stato distribuito a fini di spionaggio dal 2012.
Altrove, gli analisti della sicurezza hanno affermato di aver rilevato il firmware UEFI “più avanzato” all’inizio di quest’anno sotto forma di MoonBounce.
È stato un anno impegnativo per i gruppi e gli hacker coinvolti nella comunità del malware. Più di recente, gli attori delle minacce sono riusciti a utilizzare Microsoft Calculator per distribuire codice dannoso , mentre la stessa Microsoft ha lanciato una nuova iniziativa in cui offre alle aziende l’accesso ai suoi servizi di sicurezza interni.
