Το rootkit είναι ένας από τους πιο επικίνδυνους τύπους κακόβουλου λογισμικού που μπορεί να μολύνει τον υπολογιστή σας. Τον Ιούλιο του 2022, η Kaspersky ανακάλυψε ένα rootkit που στοχεύει συγκεκριμένα το υλικολογισμικό UEFI των μητρικών καρτών Gigabyte και Asus με Intel H81 Chipset. Αυτό το rootkit, που ονομάζεται CosmicStrand, θα μπορούσε να είναι μια σοβαρή απειλή για τον υπολογιστή σας, καθώς οι συντελεστές Advanced Persistent Threats (ATP) είναι ο προγραμματιστής του.
Είναι διαβόητα διάσημοι για τη δημιουργία θανατηφόρων απειλών για την πρόσβαση και τον έλεγχο υπολογιστών και δικτύων. Παραδόξως, οι μέγιστες επιθέσεις CosmicStrand έχουν συμβεί σε ντόπιους πολίτες της Κίνας, της Ρωσίας, του Βιετνάμ και του Ιράν αντί για επιχειρηματικούς οργανισμούς.
Τι είναι το CosmicStrand και τι κάνει;
Το CosmicStrand είναι ένα rootkit που δίνει στους εισβολείς τον πλήρη έλεγχο του υπολογιστή σας χωρίς να ξέρεις τίποτα. Παραμένει απαρατήρητο από οποιονδήποτε τύπο παραδοσιακών μέτρων ασφαλείας αφού εγκατασταθεί κρυφά στο Το υλικολογισμικό UEFI της συσκευής σας Windows.
Εκτός από αυτό, το rootkit CosmicStrand έχει τη δυνατότητα να παραμένει κρυφό στη συσκευή του θύματος ακόμα και μετά την επανεγκατάσταση ή την επισκευή του λειτουργικού συστήματος Windows. Αυτή η ικανότητα το κάνει πολύ επικίνδυνο και κάτι που δεν μπορείτε να το πάρετε ελαφρά.
Αυτό το rootkit επιτρέπει στον εισβολέα να κάνει ό, τι θέλει στον υπολογιστή σας, συμπεριλαμβανομένης της κλοπής ευαίσθητων πληροφοριών, της εγκατάστασης άλλου κακόβουλου λογισμικού και ακόμη και της κατάληψης ολόκληρου του συστήματος.
Πώς εγκαθίσταται το CosmicStrand σε υπολογιστές;
Σύμφωνα με τον ερευνητή στο Kaspersky, οι χάκερ μπόρεσαν να εγκαταστήσουν το CosmicStrand στο υλικολογισμικό του θύματος κάνοντας τροποποιήσεις στο πρόγραμμα οδήγησης CSMCORE DXE. Αυτή η τροποποίηση αναγκάζει το πρόγραμμα οδήγησης να εκτελέσει μια σειρά κωδικών κατά την εκκίνηση του συστήματος που ενεργοποιεί τη λήψη και την εγκατάσταση του στοιχείου CosmicStrand.
Εξετάζοντας τις μολυσμένες εικόνες υλικολογισμικού, οι ερευνητές ανακάλυψαν ότι οι εισβολείς έκαναν τροποποιήσεις στο CSMCORE Πρόγραμμα οδήγησης DXE αποκτώντας προηγούμενη πρόσβαση στον υπολογιστή του θύματος και αντικαθιστώντας το υλικολογισμικό για την εισαγωγή του αυτοματοποιημένου μπαλλωμάτης. Αυτή η αυτόματη ενημέρωση κώδικα είναι υπεύθυνη για την ανακατεύθυνση του σημείου εισόδου του προγράμματος οδήγησης CSMCORE DXE στον κακόβουλο κώδικα που είναι αποθηκευμένος στο αρχείο RELOC του εκτελέσιμου αρχείου.
Πώς μπορείτε να προστατέψετε το σύστημά σας από το CosmicStrand και άλλα Rootkits;
Ο καλύτερος τρόπος για να προστατεύσετε το σύστημά σας από το CosmicStrand και άλλα rootkits είναι να εγκαταστήσετε μια ισχυρή λύση ασφαλείας που μπορεί να εντοπίσει και να αφαιρέσει τέτοιες απειλές.
Θα πρέπει επίσης να διατηρείτε το λειτουργικό σας σύστημα και όλο το λογισμικό ενημερωμένα με τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας. Αυτό θα βοηθήσει να κλείσουν τυχόν παραθυράκια που μπορούν να χρησιμοποιήσουν οι εισβολείς για να εισέλθουν στο σύστημά σας. Θα έπρεπε πραγματοποιήστε τις ενημερώσεις υλικολογισμικού και όλες τις άλλες ουσιαστικές ενημερώσεις μέσω επίσημων, αξιόπιστων πηγών.
Είναι επίσης σημαντικό να δημιουργείτε τακτικά αντίγραφα ασφαλείας των δεδομένων σας, ώστε να μπορείτε να επαναφέρετε το σύστημά σας σε περίπτωση που μολυνθεί με ένα rootkit ή οποιοδήποτε άλλο κακόβουλο λογισμικό.
Εκτός από αυτό, θα ήταν καλύτερο να εφαρμόζετε επίσης βασικά μέτρα ασφαλείας, όπως να μην κάνετε κλικ σε άγνωστους συνδέσμους ή συνημμένα, μη λήψη πειρατικού λογισμικού ή περιεχομένου από αναξιόπιστους ιστότοπους και μη κοινοποίησης των προσωπικών σας στοιχείων με οποιονδήποτε. Αυτό θα σας βοηθήσει προστατέψτε τον εαυτό σας από επιθέσεις κοινωνικής μηχανικής.
Πρέπει να ανησυχείτε για το ComicStrand;
Από τον Αύγουστο του 2022, υπάρχουν πολύ λίγες περιπτώσεις επιθέσεων ComicStrand rootkit. Ωστόσο, δεδομένης της πολυπλοκότητας του rootkit και της ικανότητάς του να παραμένει κρυφό, ενδέχεται να δούμε περισσότερες επιθέσεις στο μέλλον. Επίσης, μέχρι στιγμής, μόνο συγκεκριμένες μητρικές από την Gigabyte και την Asus βρίσκονται στη λίστα στόχων του ComicStrand, αλλά είναι πιθανό να κινδυνεύουν και άλλοι κατασκευαστές μητρικών πλακών.
Εάν διαθέτετε μητρική κάρτα Gigabyte ή Asus με chipset Intel H81, είναι απαραίτητο να ελέγξετε εάν το σύστημά σας είναι μολυσμένο και εάν εντοπίσετε το rootkit, λάβετε μέτρα για να το αφαιρέσετε. Θα πρέπει επίσης να εγκαταστήσετε μια αξιόπιστη λύση ασφαλείας για να προστατεύσετε το σύστημά σας από τέτοιες απειλές στο μέλλον.
Αν και το rootkit ComicStrand δεν αποτελεί ευρέως διαδεδομένη απειλή, είναι σημαντικό να το γνωρίζετε και να λάβετε μέτρα για την προστασία του συστήματός σας.