Denominado “CosmicStrand”, este firmware UEFI rootkit foi utilizado principalmente para atacar indivíduos na China, mas também há casos identificados no Vietname, Irão e Rússia.
Investigadores da Kaspersky alertam para o rootkit desenvolvido por um grupo avançado de ameaça persistente (APT) que permanece na máquina da vítima mesmo que o sistema operativo seja reiniciado ou o Windows reinstalado, tornando-o muito perigoso a longo prazo.
Denominado “CosmicStrand”, este firmware UEFI rootkit foi utilizado principalmente para atacar indivíduos na China, com casos identificados também no Vietname, Irão e Rússia.
O firmware UEFI é um componente crítico na grande maioria do hardware. O seu código é responsável pelo arranque de um dispositivo, lançando o componente de software que carrega o sistema operativo. Se o firmware UEFI for modificado de alguma forma para conter código malicioso, esse código será lançado antes do sistema operativo, tornando a sua atividade potencialmente invisível às soluções de segurança e às defesas do sistema operativo. Isto, e o facto de o firmware residir num chip separado do disco rígido, torna os ataques contra o firmware UEFI excecionalmente evasivos e persistentes, porque independentemente de quantas vezes o sistema operativo for reinstalado, o malware permanecerá no dispositivo, alerta a empresa.
Vítimas são utilizadores individuais
A recente descoberta do firmware UEFI feita pelos investigadores da Kaspersky e é atribuída a um agente malicioso de língua chinesa até agora desconhecido. Embora o objetivo final dos atacantes continue por identificar, observou-se que as vítimas afetadas eram utilizadores individuais, ao contrário dos computadores das empresas.
Todas as máquinas atacadas tinham como sistema operativo o Windows: sempre que um computador era reiniciado, um pouco do código malicioso era executado após o arranque do Windows. O seu objetivo era ligar-se a um servidor C2 (comando e controlo) e descarregar um executável malicioso adicional.
Os investigadores não conseguiram determinar como o rootkit conseguiu alcançar as máquinas infetadas, mas contas online identificadas indicam que alguns utilizadores receberam dispositivos comprometidos ao encomendar componentes de hardware online.
O aspeto mais marcante do CosmicStrand é que o implante UEFI parece estar em utilização desde 2016 – muito antes dos ataques UEFI terem começado a ser descritos publicamente.
“Apesar de ter sido recentemente descoberto, o CosmicStrand UEFI firmware rootkit parece estar a ser implementado há bastante tempo. Isto indica que alguns agentes de ameaça têm tido capacidades muito avançadas que conseguiram esconder desde 2017. Resta-nos perguntar que novas ferramentas criaram, entretanto, e que ainda estão por descobrir”, comenta Ivan Kwiatkowski, Senior Security Researcher at Global Research and Analysis Team (GReAT) da Kaspersky.
Uma análise mais detalhada do CosmicStrand e dos seus componentes é apresentada na Securelist.