Milano, 26 luglio 2022
I ricercatori di Kaspersky hanno scoperto un rootkit sviluppato da un threat actor APT che rimane sul #computer della vittima anche se il sistema operativo viene riavviato o Windows viene reinstallato, rendendolo molto pericoloso e persistente. Denominato “CosmicStrand”, questo rootkit del firmware UEFI è stato utilizzato principalmente per attaccare privati in #cina, e in rari casi in #vietnam, #iran e #russia.
Il firmware UEFI è un componente critico nella maggior parte degli #hardware. Il suo codice è responsabile dell’avvio di un dispositivo, con il conseguente lancio del componente software che carica il sistema operativo. Se il firmware UEFI viene, in qualche modo, modificato per includere un codice dannoso, esso verrà lanciato prima del sistema operativo, rendendo la sua attività potenzialmente invisibile alle soluzioni di sicurezza e alle difese dello stesso. Questo aspetto, unito al fatto che il firmware risiede su un chip separato dal disco rigido, rende gli attacchi contro il firmware UEFI eccezionalmente sfuggenti e persistenti perché, indipendentemente dal numero di reinstallazioni del sistema operativo, il malware rimarrà sul dispositivo.
CosmicStrand, scoperto dai ricercatori di Kaspersky, è attribuito a un threat actor di lingua cinese precedentemente sconosciuto. Sebbene l'obiettivo finale perseguito dagli attaccanti rimanga tuttora ignoto, è stato osservato che le vittime colpite sono singoli utenti e non #computer aziendali.
Tutti i #computer attaccati erano basati su Windows: a ogni riavvio del #computer, dopo l'avvio di Windows, veniva eseguito una parte del codice dannoso. Il suo scopo era connettersi a un server C2 (command-and-control) e scaricare un ulteriore codice eseguibile dannoso.
Inoltre, i ricercatori non sono stati in grado di determinare come il rootkit sia finito sui #computer infetti, ma fonti online non confermate, segnalano che alcuni utenti hanno ricevuto dispositivi compromessi mentre ordinavano componenti #hardware online.
L'aspetto più sorprendente di CosmicStrand è che l'impianto UEFI sembra essere stato utilizzato liberamente dalla fine del 2016, molto prima che gli attacchi iniziassero a essere descritti pubblicamente.
“Nonostante sia stato scoperto di recente, il rootkit del firmware UEFI CosmicStrand sembra in circolazione da parecchio tempo. Ciò indica che alcuni threat actor dispongono di capacità molto avanzate che sono riusciti a tenere sottotraccia dal 2017. Ci chiediamo quali nuovi strumenti abbiano creato nel frattempo, che ancora non abbiamo scoperto” ha commentato #ivankwiatkowski, Senior Security Researcher del Global Research and Analysis Team (GReAT) di Kaspersky.
Un'analisi più dettagliata del framework CosmicStrand e dei suoi componenti è presentata su Securelist.
Per rimanere protetti da minacce come CosmicStrand, Kaspersky consiglia di:
Anche se l'implementazione dell'UEFI comporta interfacce e funzioni diverse da dispositivo a dispositivo e a seconda del produttore del PC, le basi del firmware UEFI differiscono solo leggermente. Di conseguenza, negli ultimi anni il firmware UEFI di alcuni produttori è risultato vulnerabile, in quanto è stato possibile per gli attaccanti aggirare le funzioni di sicurezza dell'UEFI.
Per evitare questo problema, e rimanere protetti dalle minacce, Kaspersky consiglia agli utenti privati di:
Informazioni su Kaspersky
Kaspersky è un’azienda di sicurezza informatica e digital privacy che opera a livello globale fondata nel 1997. La profonda competenza di Kaspersky in materia di threat intelligence e sicurezza si trasforma costantemente in soluzioni e servizi innovativi per proteggere le aziende, le infrastrutture critiche, i governi e gli utenti di tutto il mondo. L'ampio portfolio di soluzioni di sicurezza dell'azienda include la protezione degli Endpoint leader di settore e una serie di soluzioni e servizi specializzati per combattere le minacce digitali sofisticate e in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky e aiutiamo 240.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: https://www.kaspersky.it/
© Copyright 2024