Gizliliği ve kalıcılığı sağlamak için Birleşik Genişletilebilir Ürün Yazılımı Arabirimini (UEFI) hedef alan siber tehdit gök kubbesinde “CosmicStrand” olarak bilinen bir Windows üretici yazılımı rootkit ortaya çıktı.
UEFI bellenimi, işletim sisteminin yüklenmesi de dahil olmak üzere Windows bilgisayarlarını başlatmakla görevlidir. Bu nedenle, bellenim kötü amaçlı kodla kirlenirse, bu kod işletim sisteminden önce başlatılır ve bu da onu çoğu güvenlik önlemi ve işletim sistemi düzeyindeki savunma için görünmez hale getirir.
Kaspersky araştırmacıları, “Bu, bellenimin sabit sürücüden ayrı bir çip üzerinde bulunması gerçeğiyle birlikte, UEFI bellenimine yönelik saldırıları son derece kaçamak ve kalıcı hale getiriyor” dedi. bir gönderi Pazartesi gününde. “İşletim sistemi kaç kez yeniden yüklenirse yüklensin, kötü amaçlı yazılım cihazda kalacaktır.”
Kod tetiklendiğinde, uzun bir yürütme zincirinden sonra Windows işletim sistemi içinde kötü amaçlı bir bileşen dağıtır. Bu bileşen bir komut ve kontrol sunucusuna (C2) bağlanır ve kötü amaçlı yazılımın çekirdek alanına eşlediği ve bir kabuk kodunda birleştirdiği ek kötü amaçlı kod parçacıklarının indirilmesi için talimatları bekler.
Kaspersky tarafından elde edilen bir kabuk kodu örneği, kurbanın makinesinde yeni bir kullanıcı oluşturmak ve onu yerel yöneticiler grubuna eklemek için kullanıldı.
“Bundan, C2 sunucusundan alınan kabuk kodlarının, saldırgan tarafından sağlanan PE yürütülebilir dosyaları için hazırlayıcılar olabileceği sonucunu çıkarabiliriz ve yazmaya göre, çok daha fazlasının var olması çok muhtemeldir”.
ABD İç Güvenlik Bakanlığı (DHS) ve Ticaret Bakanlığı’nın aygıt yazılımı tehditleriyle ilgili Mart raporunda belirttiği gibi, rootkit’ler çok büyük bir risk oluşturuyor.
Hükümet kurumları, “Saldırganlar, işletim sistemi ve hiper yönetici görünürlüğünü bozabilir ve çoğu güvenlik sistemini atlayabilir, saldırı operasyonlarını yürütürken ağlarda ve cihazlarda uzun süre saklanabilir ve kalabilir ve geri dönüşü olmayan hasar verebilir” dedi. ortak taslak raporda (PDF).
Araştırmacılar, bu özel kampanyanın, İran ve Vietnam’da görülen bazı vakalarla birlikte, Çin’deki belirli bireyleri yüksek oranda hedef aldığını belirtti. Cosmic Strand için nihai oyunun ne olduğu belli değil, ancak muhtemelen bir casusluk oyunu; Kaspersky, kampanyayı, MyKings botnet çetesiyle örtüşen, henüz bilinmeyen, Çince konuşan bir gelişmiş kalıcı tehdide (APT) bağladı.
Tedarik Zinciri, ‘Kötü Hizmetçi’ Endişeleri
Araştırmacılar, rootkit’in insanların makinelerine nasıl ulaştığı hakkında çok az şey biliyor. Bununla birlikte, Kaspersky’ye göre, tedarik zinciri zayıflığı bir olasılıktır, “çevrimiçi olarak keşfedilen onaylanmamış hesaplar, bazı kullanıcıların çevrimiçi donanım bileşenleri sipariş ederken güvenliği ihlal edilmiş cihazlar aldığını gösteriyor.”
Değişiklikler, sistem başlatılırken yürütülen kötü amaçlı koda yeniden yönlendirmek için yama yapılarak belirli bir sürücüye özel olarak tanıtıldı.
“Değişiklikleri değerlendiriyoruz” [to the driver] Kaspersky araştırmacıları, otomatik bir yama aracıyla gerçekleştirilmiş olabilir” dedi. “Öyleyse, saldırganların anakartın donanım yazılımını çıkarmak, değiştirmek ve üzerine yazmak için kurbanın bilgisayarına önceden erişim sahibi olduğu anlaşılır. Bu, bilgisayara önceden yerleştirilmiş kötü amaçlı yazılım implantasyonu veya fiziksel erişim (yani kötü bir hizmetçi saldırısı senaryosu) yoluyla başarılabilir.”
Saldırılarda, implantın özellikle H81 yonga setini paylaşan Gigabyte ve ASUS anakartlarına gömüldüğünü eklediler. Bu, ilk uzlaşma için başka bir olasılık sunar.
Rapora göre, “Bu, saldırganların rootkit’lerini bellenimin görüntüsüne enjekte etmelerine izin veren ortak bir güvenlik açığı olabileceğini gösteriyor”.
Yaklaşık 2016
Çok dikkat çekici bir şekilde, CosmicStrand, UEFI saldırılarının bir şey olduğu bilinmeden çok önce, 2016’nın sonundan bu yana vahşi doğada kullanılıyor gibi görünüyor.
Kaspersky Global Araştırma ve Analiz Ekibi’nde (GReAT) kıdemli güvenlik araştırmacısı olan Ivan Kwiatkowski, “Yakın zamanda keşfedilmesine rağmen, CosmicStrand UEFI üretici yazılımı rootkit’i oldukça uzun bir süredir kullanılıyor gibi görünüyor” diyor. “Bu, bazı tehdit aktörlerinin 2017’den beri radar altında tutmayı başardıkları çok gelişmiş yeteneklere sahip olduğunu gösteriyor. Bu arada, henüz keşfetmediğimiz hangi yeni araçları yarattıklarını merak ediyoruz.”
UEFI rootkit’leri, geliştirmeleri ne kadar karmaşık ve zor olduklarından dolayı vahşi doğada hala nadiren görülüyor – ancak efsanevi de değiller. Resmi olarak tespit edilen ilk kişi, Qihoo 360 tarafından gözlemlendi 2017’de Çin destekli bir APT tarafından kullanılacak; Kaspersky, CosmicStrand’ın Spy Shadow Trojan olarak adlandırılan bu tehditle ilgili olduğuna inanıyor.
Ardından ESET, 2018’de Rus devlet destekli aktör APT28 (diğer adıyla Fancy Bear, Sednit veya Sofacy) tarafından bir tane kullanıldığını keşfetti. Öyleydi dublajlı LoJax Absolute Software’in dizüstü bilgisayarlar için LoJack kurtarma yazılımının değiştirilmiş bir versiyonu olan temel kodu nedeniyle.
O zamandan beri, diğerleri nadiren ortaya çıktı, örneğin MozaikRegresör ve Kaspersky’nin sırasıyla 2020 ve 2022’de bulduğu MoonBounce.
Kaspersky araştırmacıları, bu tür rootkit’lerin gizemler sağlamaya ve soru sormaya devam ettiği ve analist topluluğunun daha fazla ilgisini hak ettiği konusunda uyardı.
“CosmicStrand, gelişmiş bir UEFI üretici yazılımı rootkit’idir. [that] Birkaç yıldır operasyonda kullanılmış gibi görünüyor ve hala birçok gizem var” diye belirttiler. “Daha kaç implant ve C2 sunucusu hâlâ bizden kaçıyor olabilir? Mağdurlara hangi son aşama yükleri teslim ediliyor? Ama aynı zamanda, CosmicStrand’in kurbanlarından bazılarına şu yollarla ulaşmış olması gerçekten mümkün mü? ‘yasaklama’ paketi? Her halükarda, şimdiye kadar keşfedilen birden fazla kök kullanıcı takımı, sektörümüzde er ya da geç ele alınması gereken bir kör nokta olduğunu kanıtlıyor.”
Federaller aynı fikirde. Yukarıda bahsedilen DHS liderliğindeki ortak taslak rapor, bellenimin “büyük ve sürekli genişleyen bir saldırı yüzeyi” sunduğunu belirtti. Bir saldırganın cihazları büyük ölçekte tehlikeye atabileceği en gizli yöntemlerden biri olmasına rağmen, bellenim güvenliğinin genellikle göz ardı edildiğini eklediler.