Qihoo360 ve Kaspersky’den siber güvenlik araştırmacıları, bazı eski anakartlara benzersiz sinsi kötü amaçlı yazılım bulaşabileceği konusunda uyardılar.
Anakart kötü amaçlı yazılımları, genellikle UEFI rootkit’leri olarak bilinen kalıcı tehditlerin kaldırılması özellikle zordur, çünkü sabit sürücüyü silmek bile tehdidi ortadan kaldırmaz.
Qihoo360’ın Spy Shadow Trojan ve Kaspersky’nin CosmicStrand olarak adlandırdığı bu örnek, ASUS ve Gigabyte anakartlara sahip makinelerde bulundu. Bunlar çoğunlukla 2013 ve 2015 yılları arasında üretilen ve üretimi durdurulan donanımlardı ve Kaspersky, UEFI üretici yazılımı rootkit’inin çalışır durumda olduğu sürece cihazlarda kalabileceğini belirtti.
Çekilmesi zor uzlaşma
Bulguları Twitter üzerinden açıklayan eski Kaspersky tersine mühendisi Mark Lechtik, güvenliği ihlal edilmiş ürün yazılımı görüntülerinin, eski bir önyükleme işlemini mümkün kılan değiştirilmiş bir CSMCORE DXE sürücüsü ile geldiğini söyledi. BleeBilgisayar bildirildi.
Lechtik, “Bu sürücü, önyükleme sırasını engelleyecek ve ona kötü niyetli mantık getirecek şekilde değiştirildi” dedi.
Araştırmacıların henüz bilmediği şey, kötü amaçlı yazılımın uç noktalardan ödün vererek cihazlara nasıl ulaştığı. (yeni sekmede açılır) UEFI kötü amaçlı yazılımları, aygıtlara fiziksel erişime sahip olmayı veya bellenim görüntüsünü otomatik olarak yamalayabilecek öncü kötü amaçlı yazılımlara sahip olmayı içerir.
Qihoo360’ın durumunda, bir kurban internetten zaten güvenliği ihlal edilmiş, kullanılmış bir anakart satın aldıklarını söyledi. Kaspersky’nin analiz ettiği kurbanlar arasında Çin, İran, Vietnam ve Rusya’da neredeyse hiçbir ortak yanı olmayan özel kişiler vardı.
Kaspersky, MyKings kripto madenciliği botnetinin arkasında aynı grubun olduğuna inansa da, tehdit aktörünün kim olduğunu belirlemek zor.
Çıkarması daha zor olsa da, UEFI kötü amaçlı yazılımları daha yaygın hale geliyor. Örneğin, geçen yıl Ekim ayında ESET’ten siber güvenlik araştırmacıları bu tür kötü amaçlı yazılımları keşfetti ve buna ESPecter adını verdi. O zamanlar, araştırmacılar bu tehdidin en az 2012’den beri aktif olduğunu ve çoğunlukla casusluk için kullanıldığını, çünkü keylogging ve belgeleri çalabildiğini iddia etti.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)