Çince konuşan bilgisayar korsanları, UEFI rootkit olarak bilinen en kalıcı tehditlerden biri olan bazı anakartlar için ürün yazılımı görüntülerinde neredeyse tespit edilmeyen en az 2016 kötü amaçlı yazılımından bu yana kullanıyor.
Siber güvenlik şirketindeki araştırmacılar Kaspersky It Cosmicstrand adını verdi, ancak Tehditin daha önceki bir varyantı Qihoo360'daki kötü amaçlı yazılım analistleri tarafından Spy Shadow Trojan adını verdi.
Tehdit oyuncusunun rootkit'i hedef makinelerin ürün yazılımı görüntülerine nasıl enjekte etmeyi başardığı belirsizdir, ancak araştırmacılar ASUS ve gigabayt anakartlara sahip makinelerde kötü amaçlı yazılım buldular.
Birleştirilmiş Genişletilebilir Ürün Yazılımı Arayüzü (UEFI) yazılımı, bir bilgisayarın işletim sistemini temel donanımın ürün yazılımı ile bağlayan şeydir.
UEFI kodu, bir bilgisayarın önyükleme sırası sırasında, işletim sistemi ve mevcut güvenlik çözümleri öncesinde ilk çalıştıran koddur.
UEFI ürün yazılımı görüntüsüne ekilen kötü amaçlı yazılımlar sadece tanımlanması zor değildir, aynı zamanda işletim sistemini yeniden yükleyerek veya depolama sürücüsünü değiştirerek kaldırılamadığı için son derece kalıcıdır.
Kaspersky Today'den bir rapor, enfekte UEFI bileşeninden CosmicStrand hakkında teknik ayrıntılar sunuyor.
Tüm işlem, işletim sistemi yükleyicisini değiştirmek için kancaların ayarlanmasından oluşur ve yükü komut ve kontrol sunucusundan getiren kabuk kodunu başlatmak için tüm yürütme akışının kontrolünü ele geçirir.
Şu anda araştırmaya katılan Mandiant'ta eski bir Kaspersky ters mühendis olan Mark Lechtik, tehlikeye atılan ürün yazılımı görüntülerinin eski bir önyükleme işlemini sağlayan değiştirilmiş bir CSMCORE DXE sürücüsü ile geldiğini açıklıyor.
Lechtik Pazartesi günü bir tweet'te “Bu sürücü, önyükleme sırasını kesecek ve kötü niyetli mantık getirecek şekilde değiştirildi” dedi.
Cosmicstrand varyant Kaspersky'nin keşfettiği daha yeni olsa da, Qihoo360'daki araştırmacılar 2017'de kötü amaçlı yazılımın ilk versiyonu hakkında ilk ayrıntıları açıkladı.
Çinli araştırmacılar, bir kurbanın bilgisayarlarının maviden yeni bir hesap oluşturduğunu ve antivirüs yazılımının kötü amaçlı yazılım enfeksiyonunu uyarmaya devam ettiğini bildirdikten sonra implantı analiz ettiler.
Raporlarına göre, tehlikeye atılan sistem, sahibinin çevrimiçi bir mağazadan satın aldığı ikinci el Asus anakartında koştu.
Kaspersky, Cosmicstrand Uefi Rootkit'in H81 yonga setini kullanarak ortak tasarımlarda olan Gigabyte veya Asus anakartlarının ürün yazılımı görüntülerine yerleştirildiğini belirleyebildi.
Bu, 2013-2015 yılları arasında bugün çoğunlukla durdurulan eski donanımı ifade eder.
İşlem, cihaza fiziksel erişim veya ürün yazılımı görüntüsünü otomatik olarak yama yapabilen bir öncü kötü amaçlı yazılım aracılığıyla implantın enfekte bilgisayarlara nasıl yerleştirildiği belirsizdir.
Kaspersky tarafından tanımlanan mağdurlar, belirlenen enfekte sistemler Çin, İran, Vietnam ve Rusya'daki özel bireylere bir örgüt veya endüstri ile bağlantılı olmayan özel kişilere ait olduğundan, tehdit oyuncusu ve hedefleri hakkında birkaç ipucu sunmaktadır.
Bununla birlikte, araştırmacılar Cosmicstrand'ı, Sophos'taki kötü amaçlı yazılım analistlerinin Çince dil eserleri bulduğu Mykings Cryptomining Botnet'te de görülen kod kalıplarına dayanan Çince konuşan bir aktöre bağladılar.
Kaspersky, Cosmicstrand UEFI ürün yazılımı rootkit'in bilgisayarın tüm ömrü boyunca sistem üzerinde devam edebileceğini ve 2016 sonundan bu yana yıllardır operasyonlarda kullanıldığını söylüyor.
Vahşi Lojax'ta bulunan bir UEFI rootkit hakkındaki ilk yaygın rapor 2018'de ESET'ten geldi ve APT28 grubundaki Rus hackerların saldırılarında kullanıldı (yani Sednit, Fancy Bear, Sofacy).
Neredeyse dört yıl sonra ve Vahşi'deki UEFI kötü amaçlı yazılım saldırılarının hesapları daha sık büyüdü ve sadece bu seçeneği araştıran gelişmiş bilgisayar korsanları değildi:
2019'da sivil toplum kuruluşlarına karşı saldırılarda kullanılmasına rağmen, 2020'de Kaspersky'den Mosaicregessor'u öğrendik.
2020'nin sonunda, Trickbot geliştiricilerinin UEFI güvenlik açıkları için uzlaşmış makineleri kontrol eden yeni bir modül olan Trickboot'u yarattığı haberi geldi.
Başka bir UEFI rootkit, 2021'in sonlarında Finfisher gözetim çözümünün bir parçası olarak Gamma Grubu tarafından geliştirilecek şekilde ortaya çıktı.
Aynı yıl, ESET'ten, esas olarak casusluk için ve 2012'ye kadar kökenli olarak kullanıldığına inanılan ESET'den başka bir bootkit hakkında ortaya çıktı.
En sofistike UEFI ürün yazılımı implantlarından biri olarak kabul edilen Moonbounce, bu yıl Ocak ayında Çince konuşan bir hacker grubu (APT41 olarak da bilinir) Winnti tarafından kullanıldığı açıklandı.
Yeni UEFI ürün yazılımı kusurları 70'den fazla Lenovo dizüstü bilgisayar modelini etkiler
Gizli Saldırılar için Conti Fidye Yazılımı Hedefli Intel Firmware
Microsoft 365, Windows Sınavları Bu Sınav Hazırlık Paketi Anlaşması
Microsoft, Broken Windows 11 Başlangıç Menüsü için Acil Durum Düzeltme
Microsoft, son güncellemeler nedeniyle Windows 10 USB baskı molaları uyarıyor
Kaynak: Bleeping Computer