Cookie Consent by Free Privacy Policy website CosmicStrand: sofisticato rootkit del firmware che consente la persistenza a lungo termine
luglio 26, 2022 - Kaspersky

CosmicStrand: sofisticato rootkit del firmware che consente la persistenza a lungo termine

Milano, 26 luglio 2022

I ricercatori di Kaspersky hanno scoperto un rootkit sviluppato da un threat actor APT che rimane sul #computer della vittima anche se il sistema operativo viene riavviato o Windows viene reinstallato, rendendolo molto pericoloso e persistente. Denominato “CosmicStrand”, questo rootkit del firmware UEFI è stato utilizzato principalmente per attaccare privati in #cina, e in rari casi in #vietnam, #iran e #russia.

Il firmware UEFI è un componente critico nella maggior parte degli #hardware. Il suo codice è responsabile dell’avvio di un dispositivo, con il conseguente lancio del componente software che carica il sistema operativo. Se il firmware UEFI viene, in qualche modo, modificato per includere un codice dannoso, esso verrà lanciato prima del sistema operativo, rendendo la sua attività potenzialmente invisibile alle soluzioni di sicurezza e alle difese dello stesso. Questo aspetto, unito al fatto che il firmware risiede su un chip separato dal disco rigido, rende gli attacchi contro il firmware UEFI eccezionalmente sfuggenti e persistenti perché, indipendentemente dal numero di reinstallazioni del sistema operativo, il malware rimarrà sul dispositivo.

CosmicStrand, scoperto dai ricercatori di Kaspersky, è attribuito a un threat actor di lingua cinese precedentemente sconosciuto. Sebbene l'obiettivo finale perseguito dagli attaccanti rimanga tuttora ignoto, è stato osservato che le vittime colpite sono singoli utenti e non #computer aziendali.

Tutti i #computer attaccati erano basati su Windows: a ogni riavvio del #computer, dopo l'avvio di Windows, veniva eseguito una parte del codice dannoso. Il suo scopo era connettersi a un server C2 (command-and-control) e scaricare un ulteriore codice eseguibile dannoso.

Inoltre, i ricercatori non sono stati in grado di determinare come il rootkit sia finito sui #computer infetti, ma fonti online non confermate, segnalano che alcuni utenti hanno ricevuto dispositivi compromessi mentre ordinavano componenti #hardware online.

 L'aspetto più sorprendente di CosmicStrand è che l'impianto UEFI sembra essere stato utilizzato liberamente dalla fine del 2016, molto prima che gli attacchi iniziassero a essere descritti pubblicamente.

 “Nonostante sia stato scoperto di recente, il rootkit del firmware UEFI CosmicStrand sembra in circolazione da parecchio tempo. Ciò indica che alcuni threat actor dispongono di capacità molto avanzate che sono riusciti a tenere sottotraccia dal 2017. Ci chiediamo quali nuovi strumenti abbiano creato nel frattempo, che ancora non abbiamo scopertoha commentato #ivankwiatkowski, Senior Security Researcher del Global Research and Analysis Team (GReAT) di Kaspersky.

Un'analisi più dettagliata del framework CosmicStrand e dei suoi componenti è presentata su Securelist.

Per rimanere protetti da minacce come CosmicStrand, Kaspersky consiglia di:

  • Fornire al team SOC l'accesso alle informazioni più recenti sulle minacce (TI). Il Kaspersky Threat Intelligence Portal è un unico punto di accesso alle informazioni sulle minacce, che fornisce dati e approfondimenti sui cyberattacchi raccolti da Kaspersky da oltre 20 anni.
  • Implementare soluzioni EDR per il rilevamento a livello di endpoint, l'investigazione e la rapida risoluzione degli incidenti, come Kaspersky Endpoint Detection and Response.
  • Fornire al personale una formazione di base sull'igiene della sicurezza informatica, poiché molti attacchi mirati iniziano con il phishing o altre tecniche di social engineering.
  • Usare un prodotto affidabile per la sicurezza degli endpoint in grado di rilevare l'uso del firmware, come Kaspersky Endpoint Security for Business.
  • Aggiornare regolarmente il firmware UEFI e utilizzare solo firmware di fornitori affidabili.

Anche se l'implementazione dell'UEFI comporta interfacce e funzioni diverse da dispositivo a dispositivo e a seconda del produttore del PC, le basi del firmware UEFI differiscono solo leggermente. Di conseguenza, negli ultimi anni il firmware UEFI di alcuni produttori è risultato vulnerabile, in quanto è stato possibile per gli attaccanti aggirare le funzioni di sicurezza dell'UEFI.

Per evitare questo problema, e rimanere protetti dalle minacce, Kaspersky consiglia agli utenti privati di:

  • Aggiornare il firmware con aggiornamenti regolari, applicati dal sistema operativo.
  • Acquistare #hardware solo da venditori e fornitori affidabili.
  • Controllare il sito #web del produttore del #computer o della scheda madre per verificare se l'hardware supporta Intel Boot Guard, che impedisce la modifica non autorizzata del firmware UEFI.

Informazioni su Kaspersky

Kaspersky è un’azienda di sicurezza informatica e digital privacy che opera a livello globale fondata nel 1997. La profonda competenza di Kaspersky in materia di threat intelligence e sicurezza si trasforma costantemente in soluzioni e servizi innovativi per proteggere le aziende, le infrastrutture critiche, i governi e gli utenti di tutto il mondo. L'ampio portfolio di soluzioni di sicurezza dell'azienda include la protezione degli Endpoint leader di settore e una serie di soluzioni e servizi specializzati per combattere le minacce digitali sofisticate e in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky e aiutiamo 240.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: https://www.kaspersky.it/

News correlate

novembre 14, 2022
giugno 22, 2022

Le previsioni di #kaspersky sulle Advanced Persistent Threat per il prossimo anno si basano sul monitoraggio di oltre 900 gruppi e...

Milano, 22 giugno 2022Gli esperti di #Kaspersky, insieme agli studenti di politica della LSE, hanno esplorato il ruolo della cyber...