Rootkit je ena najnevarnejših vrst zlonamerne programske opreme, ki lahko okuži vaš računalnik. Julija 2022 je Kaspersky odkril rootkit, ki cilja posebej na vdelano programsko opremo UEFI matičnih plošč Gigabyte in Asus z naborom čipov Intel H81. Ta rootkit, imenovan CosmicStrand, bi lahko predstavljal resno grožnjo vašemu računalniku, saj so akterji Advanced Persistent Threats (ATP) njegov razvijalec.
Znani so po ustvarjanju smrtonosnih groženj za dostop in nadzor računalnikov in omrežij. Presenetljivo je, da se je največ napadov CosmicStrand zgodilo lokalnim državljanom Kitajske, Rusije, Vietnama in Irana namesto poslovnim organizacijam.
Kaj je CosmicStrand in kaj počne?
CosmicStrand je a rootkit, ki napadalcem omogoči popoln nadzor nad vašim računalnikom ne da bi ti karkoli vedel. Po prikriti namestitvi na napravo ga ne zaznajo nobeni tradicionalni varnostni ukrepi Vdelana programska oprema UEFI vaše naprave Windows.
Poleg tega lahko rootkit CosmicStrand ostane skrit na napravi žrtve tudi po ponovni namestitvi ali popravilu operacijskega sistema Windows. Zaradi te sposobnosti je zelo nevaren in nekaj, česar ne morete jemati zlahka.
Ta rootkit omogoča napadalcu, da na vašem računalniku počne kar hoče, vključno s krajo občutljivih podatkov, namestitvijo druge zlonamerne programske opreme in celo prevzemom celotnega sistema.
Kako se CosmicStrand namesti na računalnike?
Po mnenju raziskovalca na Kaspersky, so hekerji lahko namestili CosmicStrand v strojno programsko opremo žrtve tako, da so spremenili gonilnik CSMCORE DXE. Ta sprememba prisili gonilnik, da zažene vrsto kod ob zagonu sistema, ki sproži prenos in namestitev komponente CosmicStrand.
S pregledovanjem okuženih slik vdelane programske opreme so raziskovalci odkrili, da so napadalci naredili spremembe v CSMCORE Gonilnik DXE tako, da pridobi predhodni dostop do računalnika žrtve in prepiše vdelano programsko opremo za uvedbo avtomatiziranega krpač. Ta samodejni popravljalec je odgovoren za preusmeritev vstopne točke gonilnika CSMCORE DXE na zlonamerno kodo, shranjeno v datoteki RELOC izvršljive datoteke.
Kako lahko zaščitite svoj sistem pred CosmicStrand in drugimi rootkiti?
Najboljši način za zaščito vašega sistema pred CosmicStrandom in drugimi rootkiti je namestitev robustne varnostne rešitve, ki lahko zazna in odstrani takšne grožnje.
Poskrbite tudi, da bo vaš operacijski sistem in vsa programska oprema posodobljena z najnovejšimi varnostnimi popravki. To bo pomagalo zapreti morebitne vrzeli, ki jih napadalci lahko uporabijo za vstop v vaš sistem. Moral bi izvedite posodobitve vdelane programske opreme in vse druge bistvene posodobitve prek uradnih, zanesljivih virov.
Bistveno je tudi, da redno ustvarjate varnostne kopije svojih podatkov, da lahko obnovite sistem, če se okuži z rootkitom ali katero koli drugo zlonamerno programsko opremo.
Razen tega bi bilo najbolje, če izvajate tudi osnovne varnostne ukrepe, kot je ne klikanje na neznane povezave oz priponk, prepoved prenosa piratske programske opreme ali vsebine z nezanesljivih spletnih mest in ne razkrivanje vaših osebnih podatkov s komer koli. To vam bo pomagalo zaščitite se pred napadi socialnega inženiringa.
Bi vas moralo skrbeti za ComicStrand?
Od avgusta 2022 je bilo zelo malo primerov napadov rootkitov ComicStrand. Glede na prefinjenost rootkita in njegovo sposobnost, da ostane skrit, pa bomo v prihodnosti morda videli več napadov. Prav tako so zaenkrat na ciljnem seznamu ComicStranda samo določene matične plošče proizvajalcev Gigabyte in Asus, vendar je možno, da so ogroženi tudi drugi proizvajalci matičnih plošč.
Če imate matično ploščo Gigabyte ali Asus z naborom čipov Intel H81, morate nujno preveriti, ali je vaš sistem okužen, in če zaznate rootkit, ukrepajte, da ga odstranite. Prav tako bi morali namestiti zanesljivo varnostno rešitev za zaščito vašega sistema pred takšnimi grožnjami v prihodnosti.
Čeprav rootkit ComicStrand ni razširjena grožnja, je ključnega pomena, da se ga zavedate in ukrepate za zaščito svojega sistema.
