Rootkit je jedna od najopasnijih vrsta zlonamjernog softvera koji može zaraziti vaše računalo. U srpnju 2022. Kaspersky je otkrio rootkit koji posebno cilja UEFI firmware matičnih ploča Gigabyte i Asus s Intel H81 čipsetom. Ovaj rootkit, nazvan CosmicStrand, mogao bi predstavljati ozbiljnu prijetnju vašem računalu budući da su ga razvili akteri Advanced Persistent Threats (ATP).
Poznati su po stvaranju smrtonosnih prijetnji pristupu i kontroli računala i mreža. Iznenađujuće, najveći broj napada CosmicStranda dogodio se lokalnim građanima Kine, Rusije, Vijetnama i Irana umjesto poslovnim organizacijama.
Što je CosmicStrand i čemu služi?
CosmicStrand je a rootkit koji napadačima daje potpunu kontrolu nad vašim računalom a da ništa ne znaš. Ostaje neotkriven bilo kojom vrstom tradicionalnih sigurnosnih mjera nakon što se tajno instalira na UEFI firmware vašeg Windows uređaja.
Osim toga, rootkit CosmicStrand ima mogućnost ostati skriven na žrtvinom uređaju čak i nakon što se operativni sustav Windows ponovno instalira ili popravi. Ova sposobnost ga čini vrlo opasnim i nečim što ne možete olako shvatiti.
Ovaj rootkit omogućuje napadaču da radi što god želi na vašem računalu, uključujući krađu osjetljivih informacija, instaliranje drugog zlonamjernog softvera, pa čak i preuzimanje cijelog sustava.
Kako se CosmicStrand instalira na računala?
Prema istraživaču na Kaspersky, hakeri su uspjeli instalirati CosmicStrand na žrtvin firmware modificirajući upravljački program CSMCORE DXE. Ova izmjena prisiljava upravljački program da pokrene niz kodova pri pokretanju sustava koji pokreće preuzimanje i instalaciju komponente CosmicStrand.
Ispitivanjem zaraženih slika firmvera, istraživači su otkrili da su napadači izvršili izmjene u CSMCORE-u DXE drajver dobivanjem prethodnog pristupa žrtvinom računalu i prepisivanjem firmvera radi uvođenja automatiziranog krpač. Ovaj automatski patch je odgovoran za preusmjeravanje ulazne točke CSMCORE DXE drajvera na zlonamjerni kod pohranjen u RELOC datoteci izvršne datoteke.
Kako možete zaštititi svoj sustav od CosmicStranda i drugih rootkita?
Najbolji način da zaštitite svoj sustav od CosmicStranda i drugih rootkita je instaliranje robusnog sigurnosnog rješenja koje može otkriti i ukloniti takve prijetnje.
Također biste trebali održavati svoj operativni sustav i sav softver ažuriranim s najnovijim sigurnosnim zakrpama. To će pomoći zatvoriti sve rupe u zakonu koje napadači mogu iskoristiti da uđu u vaš sustav. Trebao bi izvršite ažuriranja firmvera i sva druga bitna ažuriranja putem službenih, pouzdanih izvora.
Također je bitno stvarati redovite sigurnosne kopije svojih podataka kako biste mogli vratiti svoj sustav u slučaju da se zarazi rootkitom ili bilo kojim drugim zlonamjernim softverom.
Osim toga, bilo bi najbolje da prakticirate i osnovne sigurnosne mjere poput neklikanja na nepoznate poveznice ili privitaka, ne preuzimanja piratskog softvera ili sadržaja s nepouzdanih web stranica i ne dijeli svoje osobne podatke s bilo kim. Ovo će vam pomoći zaštitite se od napada društvenog inženjeringa.
Trebate li biti zabrinuti zbog ComicStranda?
Od kolovoza 2022. postoji vrlo malo slučajeva ComicStrand rootkit napada. Međutim, s obzirom na sofisticiranost rootkita i njegovu sposobnost da ostane skriven, mogli bismo vidjeti više napada u budućnosti. Također, zasad su samo određene matične ploče iz Gigabytea i Asusa na ciljnoj listi ComicStranda, no moguće je da su i drugi proizvođači matičnih ploča u opasnosti.
Ako imate Gigabyte ili Asus matičnu ploču s Intel H81 čipsetom, bitno je provjeriti je li vaš sustav zaražen i ako otkrijete rootkit, poduzmite korake da ga uklonite. Također biste trebali instalirati pouzdano sigurnosno rješenje kako biste zaštitili svoj sustav od takvih prijetnji u budućnosti.
Iako ComicStrand rootkit nije raširena prijetnja, ključno je biti svjestan toga i poduzeti korake da zaštitite svoj sustav.
