Rootkit je jedným z najnebezpečnejších typov malvéru, ktorý môže infikovať váš počítač. V júli 2022 spoločnosť Kaspersky objavila rootkit, ktorý sa špecificky zameriava na firmvér UEFI základných dosiek Gigabyte a Asus s čipovou sadou Intel H81. Tento rootkit s názvom CosmicStrand by mohol byť vážnou hrozbou pre váš počítač, pretože jeho vývojármi sú ATP (Advanced Persistent Threats).
Sú notoricky známe tým, že vytvárajú smrteľné hrozby pre prístup a kontrolu počítačov a sietí. Prekvapivo, maximum útokov CosmicStrand sa stalo miestnym občanom Číny, Ruska, Vietnamu a Iránu namiesto obchodných organizácií.
Čo je CosmicStrand a na čo slúži?
CosmicStrand je a rootkit, ktorý útočníkom poskytuje úplnú kontrolu nad vaším počítačom bez toho, aby si niečo vedel. Po tajnej inštalácii na serveri zostáva neodhalený akýmkoľvek typom tradičných bezpečnostných opatrení Firmvér UEFI vášho zariadenia so systémom Windows.
Okrem toho má rootkit CosmicStrand schopnosť zostať skrytý na zariadení obete aj po preinštalovaní alebo oprave operačného systému Windows. Táto schopnosť ho robí veľmi nebezpečným a niečo, čo nemôžete brať na ľahkú váhu.
Tento rootkit umožňuje útočníkovi robiť na vašom počítači čokoľvek, vrátane kradnutia citlivých informácií, inštalácie iného škodlivého softvéru a dokonca prevzatia celého systému.
Ako je CosmicStrand nainštalovaný na počítačoch?
Podľa výskumníka na KasperskyHackerom sa podarilo nainštalovať CosmicStrand do firmvéru obete vykonaním úprav ovládača CSMCORE DXE. Táto úprava prinúti ovládač spustiť sériu kódov pri štarte systému, ktorý spustí sťahovanie a inštaláciu komponentu CosmicStrand.
Preskúmaním infikovaných obrázkov firmvéru vedci zistili, že útočníci vykonali úpravy v CSMCORE DXE ovládač získaním predchádzajúceho prístupu k počítaču obete a prepísaním firmvéru, aby sa zaviedol automat patcher. Tento automatický patcher je zodpovedný za presmerovanie vstupného bodu ovládača CSMCORE DXE na škodlivý kód uložený v súbore RELOC spustiteľného súboru.
Ako môžete chrániť svoj systém pred CosmicStrand a inými rootkitmi?
Najlepší spôsob, ako ochrániť váš systém pred CosmicStrand a inými rootkitmi, je nainštalovať robustné bezpečnostné riešenie, ktoré dokáže takéto hrozby odhaliť a odstrániť.
Mali by ste tiež udržiavať svoj operačný systém a všetok softvér v aktualizovanom stave pomocou najnovších bezpečnostných záplat. Pomôže to uzavrieť všetky medzery, ktoré môžu útočníci použiť, aby sa dostali do vášho systému. Mal by si vykonajte aktualizácie firmvéru a všetky ostatné dôležité aktualizácie z oficiálnych a spoľahlivých zdrojov.
Je tiež nevyhnutné vytvárať pravidelné zálohy vašich údajov, aby ste mohli obnoviť systém v prípade, že sa nakazí rootkitom alebo iným škodlivým softvérom.
Okrem toho by bolo najlepšie, keby ste si precvičili aj základné bezpečnostné opatrenia ako neklikanie na neznáme odkazy resp prílohy, nesťahovanie pirátskeho softvéru alebo obsahu z nedôveryhodných webových stránok a nezdieľanie vašich osobných údajov s niekým. Toto vám pomôže chráňte sa pred útokmi sociálneho inžinierstva.
Mali by ste sa obávať ComicStrand?
Od augusta 2022 existuje len veľmi málo prípadov útokov na rootkit ComicStrand. Vzhľadom na prepracovanosť rootkitu a jeho schopnosť zostať skrytý sa však v budúcnosti možno dočkáme ďalších útokov. Zatiaľ sú na cieľovom zozname ComicStrandu iba konkrétne základné dosky od Gigabyte a Asus, ale je možné, že ohrození sú aj ďalší výrobcovia základných dosiek.
Ak máte základnú dosku Gigabyte alebo Asus s čipsetom Intel H81, je nevyhnutné skontrolovať, či je váš systém infikovaný, a ak zistíte rootkit, podniknite kroky na jeho odstránenie. Mali by ste si tiež nainštalovať spoľahlivé bezpečnostné riešenie na ochranu vášho systému pred takýmito hrozbami v budúcnosti.
Hoci rootkit ComicStrand nie je rozšírenou hrozbou, je dôležité si ho uvedomiť a podniknúť kroky na ochranu vášho systému.