Οι Κινέζοι χάκερ χρησιμοποιούν από τουλάχιστον το 2016 κακόβουλο λογισμικό που βρίσκεται σχεδόν απαρατήρητο στις εικόνες υλικολογισμικού για ορισμένες μητρικές, μια από τις πιο επίμονες απειλές που είναι κοινώς γνωστό ως rootkit UEFI.

Οι ερευνητές της εταιρείας κυβερνοασφάλειας Kaspersky την ονόμασαν CosmicStrand, αλλά μια παλαιότερη παραλλαγή της απειλής ανακαλύφθηκε από αναλυτές κακόβουλου λογισμικού στο Qihoo360, οι οποίοι την ονόμασαν Spy Shadow Trojan.

Δεν είναι σαφές πώς ο ηθοποιός της απειλής κατάφερε να εισάγει το rootkit στις εικόνες υλικολογισμικού των μηχανών-στόχων, αλλά οι ερευνητές βρήκαν το κακόβουλο λογισμικό σε μηχανήματα με μητρικές κάρτες ASUS και Gigabyte.

Mystery rootkit UEFI

Το λογισμικό Unified Extensible Firmware Interface (UEFI) είναι αυτό που συνδέει το λειτουργικό σύστημα ενός υπολογιστή με το υλικολογισμικό του υποκείμενου υλικού.

Ο κώδικας UEFI είναι ο πρώτος που εκτελείται κατά τη διάρκεια της ακολουθίας εκκίνησης ενός υπολογιστή, μπροστά από το λειτουργικό σύστημα και τις διαθέσιμες λύσεις ασφαλείας.

Το κακόβουλο λογισμικό που έχει φυτευτεί στην εικόνα υλικολογισμικού UEFI δεν είναι μόνο δύσκολο να αναγνωριστεί, αλλά είναι επίσης εξαιρετικά ανθεκτικό, καθώς δεν μπορεί να αφαιρεθεί με επανεγκατάσταση του λειτουργικού συστήματος ή αντικατάσταση της μονάδας αποθήκευσης.

Μια αναφορά από την Kaspersky σήμερα παρέχει τεχνικές λεπτομέρειες σχετικά με το CosmicStrand, από το μολυσμένο στοιχείο UEFI έως την ανάπτυξη ενός εμφυτεύματος σε επίπεδο πυρήνα σε ένα σύστημα Windows σε κάθε εκκίνηση.

Η όλη διαδικασία αποτελείται από τη δημιουργία αγκίστρων για την τροποποίηση του φορτωτή του λειτουργικού συστήματος και τον έλεγχο ολόκληρης της ροής εκτέλεσης για την εκκίνηση του κώδικα κελύφους που ανακτά το ωφέλιμο φορτίο από τον διακομιστή εντολών και ελέγχου.

Επισκόπηση της εκτέλεσης κακόβουλου λογισμικού CosmicStrand UEFI

Ο Mark Lechtik, πρώην μηχανικός της Kaspersky, τώρα στη Mandiant, ο οποίος συμμετείχε στην έρευνα, εξηγεί ότι οι παραβιασμένες εικόνες υλικολογισμικού συνοδεύονταν από ένα τροποποιημένο πρόγραμμα οδήγησης CSMCORE DXE, το οποίο επιτρέπει μια παλαιού τύπου διαδικασία εκκίνησης.

«Αυτό το πρόγραμμα οδήγησης τροποποιήθηκε έτσι ώστε να παρεμποδίζει τη σειρά εκκίνησης και να εισάγει κακόβουλη λογική σε αυτό», σημειώνει ο Lechtik σε tweet τη Δευτέρα.

Ενώ η παραλλαγή CosmicStrand που ανακάλυψε η Kaspersky είναι πιο πρόσφατη, οι ερευνητές στο Qihoo360 αποκάλυψαν το 2017 τις πρώτες λεπτομέρειες σχετικά με μια πρώιμη έκδοση του κακόβουλου λογισμικού.