Peretas China Menyebarkan Malware di Gambar Firmware Motherboard Tertentu

  • Whatsapp
Peretas China Menyebarkan Malware di Gambar Firmware Motherboard Tertentu
Peretas China Menyebarkan Malware di Gambar Firmware Motherboard Tertentu
Peretas China Menyebarkan Malware di Gambar Firmware Motherboard Tertentu

CosmicStrand adalah rootkit firmware UEFI baru dan canggih yang telah dikaitkan dengan peretas berbahasa Mandarin yang tidak dikenal.

Dalam sebuah penelitian yang dilakukan oleh Kaspersky Lab, peneliti menemukan nama CosmicStrand untuk serangan ini.

Namun sebelumnya, analis malware di Qihoo360 menemukan varian ancaman yang dikenal sebagai Spy Shadow Trojan yang mirip dengan yang terbaru.

Dalam kasus mesin target, tidak jelas bagaimana peretas menginfeksi gambar firmware dengan rootkit firmware UEFI ini.

Namun, telah ditemukan bahwa malware telah ditemukan di komputer dengan motherboard dari merek berikut:-

Rootkit UEFI

UEFI adalah perangkat lunak yang diinstal sebagai bagian dari sistem operasi pada komputer yang bertindak sebagai jembatan antara sistem operasi dan firmware dalam firmware perangkat keras yang menjalankan sistem operasi.

Sebelum sistem operasi atau perangkat lunak keamanan apa pun dapat dimuat ke komputer, kode UEFI harus dijalankan terlebih dahulu untuk mem-boot komputer itu.

Selain sulitnya mendeteksi malware yang dimasukkan ke dalam Firmware UEFI gambar, ia juga memiliki daya tahan yang luar biasa juga. Dimungkinkan untuk menghapusnya dari komputer Anda, tetapi dalam hal ini, Anda harus menginstal ulang sistem operasi atau mengganti drive penyimpanan karena umumnya tidak mungkin untuk melakukannya.

Untuk menyelesaikan tugas, kait harus disiapkan di pemuat OS untuk memodifikasinya. Setelah itu, seluruh aliran eksekusi akan dikendalikan oleh kait.

Menurut laporanAgar shellcode dapat diluncurkan, shellcode harus dimuat dari server perintah dan kontrol dari mana payload akan diunduh.

Driver CSMCORE DXE yang dimodifikasi disertakan dalam gambar firmware yang dikompromikan, yang memungkinkan proses booting lama digunakan.

Setelah MoonBounce, jenis rootkit UEFI kedua adalah CosmicStrand, yang hanya berukuran 96,84KB, yang ditemukan tahun ini.

Target

Infeksi malware terdeteksi di komputer korban oleh perangkat lunak antivirus di China setelah korban melaporkan bahwa komputer mereka telah membuat akun baru tanpa mereka sadari.

Sejumlah sistem yang telah diidentifikasi terinfeksi dan tidak dikaitkan dengan organisasi atau industri mana pun ternyata milik perorangan di negara-negara berikut:-

Sejak akhir 2016, rootkit firmware CosmicStrand UEFI telah digunakan dalam operasi selama bertahun-tahun, dengan rootkit yang mampu bertahan di komputer selama sisa hidupnya.

Anda dapat mengikuti kami di Linkedin, Twitter, Facebook untuk pembaruan keamanan siber setiap hari.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.