5889
#1
Gần đây, các nhà nghiên cứu tại Kasspersky đã phát hiện ra một rootkit UEFI chứa phần mềm độc hại (có tên CosmicStrand) trong firmware bo mạch chủ của Gigabyte và Asus. Nguồn gốc được xác định là của một nhóm hacker Trung Quốc không rõ danh tính.
Theo các nhà nghiên cứu cho biết, "CosmicStrand" được tìm thấy trên các dòng mainboard hỗ trợ CPU Intel thế hệ thứ 8 (H81) của Asus và Gigabyte. Điều đáng nói là chipset này đã ra mắt từ năm 2013 và hiện đã bị ngừng sản xuất.
Do firmware UEFI là đoạn mã đầu tiện chạy khi người dùng bật máy tính, điều này làm cho CosmicStrand trở nên khó bị loại bỏ hơn so với các loại phần mềm độc hại khác. Bộ rootkit này cũng được "ngụy trang" tinh vi hơn nhằm mở đường cho tin tặc cài đặt thêm phần mềm độc hại vào hệ thống mục tiêu.
Việc xóa bộ nhớ hay thay thế ổ cứng PC sẽ không giúp loại bỏ được khả năng lây nhiễm của CosmicStrand. UEFI thực chất là hệ điều hành nhỏ tồn tại bên trong một chip nhớ, thường được hàn trực tiếp trên bo mạch chủ, khiến cho việc xóa phần mềm độc hại CosmicStrand trở nên phức tạp hơn khi cần sử dụng các công cụ đặc biệt.
Tính đến thời điểm hiện tại, CosmicStrand được xác định chủ yếu tại các nước như Nga, Trung Quốc và Việt Nam. Tuy nhiên, việc cấy ghép UEFI đã được sử dụng rầm rộ từ cuối năm 2016, điều này làm tăng khả năng lây nhiễm trở nên phổ biến hơn so với giả định trước đây. Trở lại năm 2017, công ty bảo mật Qihoo360 đã phát hiện một "biến thể" đầu tiên của CosmicStrand. Trong những năm gần đây, các nhà nghiên cứu cũng đã tìm thấy các rootkit UEFI kiểu mới như MosaicRegressor, FinSpy, ESpecter hay MoonBounce.
Đối với CosmicStrand, đây là một loại phần mềm độc hại rất mạnh mặc dù kích thước chưa đên 100 kilobyte. Không có nhiều thông tin về cách nó hoạt động trên các hệ thống mục tiêu, nhưng được cho là rất đơn giản và hiệu quả. Đầu tiên, nó lây nhiễm vào quá trình khởi động bằng cách đặt "hooks" trên một số điểm nhất định trong hệ thống, từ đó giúp kẻ tấn công sửa đổi bộ tải kernel của Windows trước khi nó được thực thi.
Từ đó, những kẻ tấn công có thể cài đặt một hook khác dưới dạng một hàm trong kernel được sử dụng trong quá trình khởi động tiếp theo. Chức năng này triển khai một mã shellcode trong bộ nhớ có thể liên hệ với máy chủ điều khiển và tải về phần mềm độc hại bổ sung trên PC bị nhiễm. CosmicStrand cũng có thể vô hiệu hóa các lớp bảo vệ như PatchGuard (được gọi là Microsoft Kernel Patch Protection), đây là một tính năng bảo mật quan trọng của Windows.
Các nhà nghiên cứu của Kaspersky lo ngại rằng CosmicStrand có thể là một trong nhiều rootkit đã được ẩn trong phần cứng từ nhiều năm nay, điều mà các nhà sản xuất như Gigabyte hay Asus cần giải quyết triệt để.
Xem thêm:
TECHRUM.VN / THEO: TECHSPOT