محققان کسپرسکی نگران هستند که CosmicStrand یکی از بسیاری از روتکیتهای فریمافزاری باشد که توانسته سالها پنهان بماند. آنها خاطرنشان میکنند که «روتکیتهای متعددی که تاکنون کشف شدهاند، نشان دهنده نقطه کوری در صنعت ما هستند که باید زودتر برطرف شود.»
از آنجا، مهاجمان می توانند هوک دیگری را به شکل تابعی در هسته ویندوز نصب کنند که در فرآیند بوت بعدی فراخوانی می شود. این تابع یک کد پوسته را در حافظه مستقر می کند که می تواند با یک سرور فرمان و کنترل تماس گرفته و بدافزار اضافی را در رایانه شخصی آلوده دانلود کند.
در مورد CosmicStrand، این یک بدافزار بسیار قوی است که اندازه آن کمتر از 100 کیلوبایت است. اطلاعات زیادی در مورد چگونگی پایان یافتن آن بر روی سیستم های هدف مشخص نیست، اما روش کار آن ساده است. ابتدا، فرآیند بوت را با تنظیم به اصطلاح “قلاب” در نقاط خاصی از جریان اجرا آلوده می کند، بنابراین عملکردی را که مهاجم برای اصلاح بارگذار هسته ویندوز قبل از اجرا نیاز دارد، اضافه می کند.
به سادگی پاک کردن فضای ذخیره سازی در رایانه شما عفونت را از بین نمی برد، و همچنین جایگزینی دستگاه های ذخیره سازی به طور کلی نمی شود. UEFI در اصل یک سیستم عامل کوچک است که در داخل یک تراشه حافظه غیر فرار، که معمولاً روی مادربرد لحیم شده است، زندگی می کند. این به این معنی است که حذف CosmicStrand به ابزارهای خاصی برای تصویربرداری مجدد از تراشه فلش در حالی که رایانه شخصی خاموش است نیاز دارد. هر چیز دیگری کامپیوتر شما را در حالت آلوده رها می کند.
محققان توضیح میدهند که این روتکیت در تصاویر سفتافزار چندین مادربرد ایسوس و گیگابایت مجهز به چیپست H81 اینتل، یکی از طولانیترین چیپستهای دوران Haswell که در نهایت در سال 2020 متوقف شد، کشف شد.
در سال 2017، شرکت امنیتی Qihoo360 چیزی را کشف کرد که میتوانست نوع اولیه CosmicStrand باشد. در سالهای اخیر، محققان روتکیتهای اضافی UEFI مانند MosaicRegressor، FinSpy، ESpecter و MoonBounce را پیدا کردند.
در متن: شرکت امنیتی ESET اولین روت کیت UEFI را کشف کرد که در سال 2018 در طبیعت مورد استفاده قرار گرفته بود. این نوع تهدید مداوم موضوع بحث های نظری در بین محققان امنیتی بود، اما در سال های گذشته، مشخص شده است که بسیار بیشتر است. شایع تر از آنچه قبلا تصور می شد، علیرغم اینکه توسعه آن نسبتاً سخت است.
این هفته، محققان کسپرسکی یک روت کیت سفتافزار جدید با نام «CosmicStrand» را معرفی کردند که گمان میرود کار گروه ناشناختهای از عوامل مخرب چینی باشد.
CosmicStrand همچنین میتواند حفاظتهای هسته مانند PatchGuard (معروف به Microsoft Kernel Patch Protection) را غیرفعال کند که یک ویژگی امنیتی حیاتی ویندوز است. همچنین شباهت هایی از نظر الگوهای کد بین CosmicStrand و بدافزار مربوط به بات نت MyKings وجود دارد که برای استقرار cryptominers در رایانه های قربانیان استفاده شده است.
تا کنون، به نظر می رسد تنها سیستم های ویندوز در کشورهایی مانند روسیه، چین، ایران و ویتنام به خطر افتاده است. با این حال، ایمپلنت UEFI از اواخر سال 2016 در طبیعت مورد استفاده قرار گرفته است، که این احتمال را افزایش می دهد که این نوع عفونت شایع تر از آنچه قبلاً تصور می شد وجود داشته باشد.
از آنجایی که سیستم عامل UEFI اولین کدی است که هنگام روشن کردن رایانه اجرا می شود، حذف CosmicStrand در مقایسه با انواع دیگر بدافزارها بسیار سخت است. شناسایی روتکیتهای میانافزار نیز سختتر است و راه را برای هکرها برای نصب بدافزارهای اضافی بر روی یک سیستم هدف هموار میکند.