Kaspersky scopre CosmicStrand un rootkit pericoloso e persistente, che rimane sul computer infettato anche se il sistema operativo viene riavviato o Windows reinstallato. Il rootkit del firmware UEFI è utilizzato principalmente per attaccare privati in Cina, e in rari casi in Vietnam, Iran e Russia. Il firmware UEFI è un componente critico nella maggior parte degli hardware. Il suo codice è responsabile dell’avvio di un dispositivo, con il conseguente lancio del componente software che carica il sistema operativo.
Il rootkit CosmicStrand
Se il firmware UEFI viene, in qualche modo, modificato per includere un codice dannoso, esso verrà lanciato prima del sistema operativo. Rendendo la sua attività potenzialmente invisibile alle soluzioni di sicurezza e alle difese dello stesso. Questo aspetto, unito al fatto che il firmware risiede su un chip separato dal disco rigido, rende gli attacchi contro il firmware UEFI eccezionalmente sfuggenti e persistenti. Perché, indipendentemente dal numero di reinstallazioni del sistema operativo, il malware rimarrà sul dispositivo.
Kaspersky: come funziona il rootkit CosmicStrand
CosmicStrand è attribuito a un threat actor di lingua cinese precedentemente sconosciuto. L’obiettivo finale perseguito dagli attaccanti rimane tuttora ignoto. Anche se le vittime colpite sono singoli utenti e non computer aziendali. Tutti i computer attaccati erano basati su Windows. A ogni riavvio del computer, dopo l’avvio di Windows, veniva eseguito una parte del codice dannoso. Il suo scopo era connettersi a un server C2 (command-and-control) e scaricare un ulteriore codice eseguibile dannoso.
Attenzione al sistema WIndows
Inoltre, i ricercatori non sono stati in grado di determinare come il rootkit sia finito sui computer infetti. Fonti online non confermate, segnalano che alcuni utenti hanno ricevuto dispositivi compromessi mentre ordinavano componenti hardware online. L’aspetto più sorprendente di CosmicStrand è che l’impianto UEFI sembra essere stato utilizzato liberamente dalla fine del 2016, molto prima che gli attacchi iniziassero a essere descritti pubblicamente.
L‘impianto UEFI
Ivan Kwiatkowski, Senior Security Researcher del Global Research and Analysis Team (GReAT) di Kaspersky
Nonostante sia stato scoperto di recente, il rootkit del firmware UEFI CosmicStrand sembra in circolazione da parecchio tempo. Ciò indica che alcuni threat actor dispongono di capacità molto avanzate che sono riusciti a tenere sottotraccia dal 2017. Ci chiediamo quali nuovi strumenti abbiano creato nel frattempo, che ancora non abbiamo scoperto.
Proteggersi dal rootkit CosmicStrand
Per rimanere protetti da minacce come CosmicStrand, Kaspersky consiglia di:
- Fornire al team SOC l’accesso alle informazioni più recenti sulle minacce (TI). Il Kaspersky Threat Intelligence Portal è un unico punto di accesso alle informazioni sulle minacce. Fornisce dati e approfondimenti sui cyberattacchi raccolti da Kaspersky da oltre 20 anni.
- Implementare soluzioni EDR per il rilevamento a livello di endpoint, l’investigazione e la rapida risoluzione degli incidenti, come Kaspersky Endpoint Detection and Response.
- Fornire al personale una formazione di base sull’igiene della sicurezza informatica. Molti attacchi mirati iniziano con il phishing o altre tecniche di social engineering.
- Usare un prodotto affidabile per la sicurezza degli endpoint in grado di rilevare l’uso del firmware, come Kaspersky Endpoint Security for Business.
- Aggiornare regolarmente il firmware UEFI e utilizzare solo firmware di fornitori affidabili.
Implementare l’UEFI
L’implementazione dell’UEFI comporta interfacce e funzioni diverse da dispositivo a dispositivo e a seconda del produttore del PC. Così le basi del firmware UEFI differiscono solo leggermente. Di conseguenza, negli ultimi anni il firmware UEFI di alcuni produttori è risultato vulnerabile, in quanto è stato possibile per gli attaccanti aggirare le funzioni di sicurezza dell’UEFI.
Evitare il problema
Per ovviare al problema, e proteggersi dalle minacce, Kaspersky consiglia agli utenti privati di:
- Aggiornare il firmware con aggiornamenti regolari, applicati dal sistema operativo.
- Acquistare hardware solo da venditori e fornitori affidabili.
- Controllare il sito web del produttore del computer o della scheda madre per verificare se l’hardware supporta Intel Boot Guard. Esso impedisce la modifica non autorizzata del firmware UEFI.