Et rootkit er en av de farligste typene skadelig programvare som kan infisere datamaskinen din. I juli 2022 oppdaget Kaspersky et rootkit som spesifikt retter seg mot UEFI-fastvaren til Gigabyte- og Asus-hovedkortene med Intel H81-brikkesett. Dette rootsettet, kalt CosmicStrand, kan være en alvorlig trussel mot datamaskinen din siden Advanced Persistent Threats (ATP)-aktører er utvikleren.
De er kjent for å skape dødelige trusler for å få tilgang til og kontrollere datamaskiner og nettverk. Overraskende nok har maksimale CosmicStrand-angrep skjedd med lokale borgere i Kina, Russland, Vietnam og Iran i stedet for forretningsorganisasjoner.
Hva er CosmicStrand, og hva gjør det?
CosmicStrand er en rootkit som gir angripere full kontroll over datamaskinen din uten at du vet noe. Det forblir uoppdaget av noen form for tradisjonelle sikkerhetstiltak etter å ha blitt installert på den UEFI-fastvare for Windows-enheten din.
Bortsett fra det har CosmicStrand rootkit muligheten til å forbli skjult på offerets enhet selv etter at Windows-operativsystemet er re-installert eller reparert. Denne evnen gjør det veldig farlig og noe du ikke kan ta lett på.
Dette rootsettet lar angriperen gjøre hva de vil på datamaskinen din, inkludert å stjele sensitiv informasjon, installere annen skadelig programvare og til og med ta over hele systemet.
Hvordan er CosmicStrand installert på datamaskiner?
Ifølge forskeren ved Kaspersky, var hackerne i stand til å installere CosmicStrand på offerets fastvare ved å gjøre endringer i CSMCORE DXE-driveren. Denne modifikasjonen tvinger driveren til å kjøre en serie koder ved systemoppstarten som utløser nedlasting og installasjon av CosmicStrand-komponenten.
Ved å undersøke de infiserte fastvarebildene, oppdaget forskere at angriperne gjorde endringer i CSMCORE DXE-driver ved å få forhåndstilgang til offerets datamaskin og overskrive fastvaren for å introdusere den automatiserte patcher. Denne automatiske patcheren er ansvarlig for å omdirigere inngangspunktet til CSMCORE DXE-driveren til den skadelige koden som er lagret i den kjørbare RELOC-filen.
Hvordan kan du beskytte systemet ditt mot CosmicStrand og andre rootkits?
Den beste måten å beskytte systemet mot CosmicStrand og andre rootkits er å installere en robust sikkerhetsløsning som kan oppdage og fjerne slike trusler.
Du bør også holde operativsystemet og all programvare oppdatert med de nyeste sikkerhetsoppdateringene. Dette vil bidra til å lukke smutthull angriperne kan bruke for å komme inn i systemet ditt. Du burde utføre fastvareoppdateringene og alle andre viktige oppdateringer gjennom offisielle, pålitelige kilder.
Det er også viktig å lage regelmessige sikkerhetskopier av dataene dine slik at du kan gjenopprette systemet i tilfelle det blir infisert med et rootkit eller annen skadelig programvare.
Annet enn det, ville det være best om du også trener på grunnleggende sikkerhetstiltak som å ikke klikke på ukjente lenker eller vedlegg, ikke laste ned piratkopiert programvare eller innhold fra upålitelige nettsteder, og ikke dele din personlige informasjon med hvem som helst. Dette vil hjelpe deg beskytte deg mot angrep fra sosiale ingeniører.
Bør du være bekymret for ComicStrand?
Fra august 2022 er det svært få tilfeller av ComicStrand rootkit-angrep. Men gitt rootsettets sofistikerte og evne til å forbli skjult, kan vi se flere angrep i fremtiden. Så langt er det bare spesifikke hovedkort fra Gigabyte og Asus som er på mållisten til ComicStrand, men det er mulig at andre hovedkortprodusenter også er i fare.
Hvis du har et Gigabyte- eller Asus-hovedkort med et Intel H81-brikkesett, er det viktig å sjekke om systemet ditt er infisert, og hvis du oppdager rootkit, ta skritt for å fjerne det. Du bør også installere en pålitelig sikkerhetsløsning for å beskytte systemet mot slike trusler i fremtiden.
Selv om ComicStrand rootkit ikke er en utbredt trussel, er det avgjørende å være klar over det og ta skritt for å beskytte systemet ditt.