Kaspersky Lab araştırmacıları, CosmicStrand adlı yeni bir UEFI üretici yazılımı rootkit’i keşfetti.
Uzmanlara göre, kötü amaçlı yazılım, işletim sistemini yeniden başlattıktan veya Windows’u yeniden yükledikten sonra bile kurbanın bilgisayarında kalıyor. Bu özellik, tespit edilmesini zorlaştırır.
Bir rootkit’in, virüslü bir sistemde gizlice çalışan ve güvenlik sistemlerinin bunları algılamasını zorlaştıran özel araçlara sahip bir kötü amaçlı program sınıfı olduğunu hatırlayın.
Uzmanlar, CosmicStrand’ın yaratılmasını daha önce bilinmeyen bir Çince konuşan APT grubuna bağlıyor. Saldırganların ne amaçla takip ettikleri henüz netlik kazanmasa da Çin, Vietnam, İran ve Rusya’daki özel kullanıcıların mağdur olduğu kaydedildi.
CosmicStrand tarafından saldırıya uğrayan tüm cihazlar Windows tabanlıydı: Windows başladıktan sonra her yeniden başlatma sırasında, işletim sistemi düzeyinde küçük bir kötü amaçlı kod parçası zaten başlatıldı. Bu yükleyici, C&C sunucusuna bağlandı ve oradan aşağıdaki yürütülebilir dosyaları aldı.
Kaspersky Lab’in önde gelen siber güvenlik uzmanlarından Denis Legezo şunları söyledi:
UEFI bellenimi, modern bir bilgisayarın önemli bir parçasıdır. Kodu, cihazı başlatmaktan ve işletim sistemini başlatmaktan sorumludur. UEFI’de kötü amaçlı kod varsa, işletim sistemi başlamadan önce bile etkinleştirilir. Bu nedenle, kötü amaçlı yazılım etkinliği, işletim sistemi çekirdeği düzeyinde çalışan birçok güvenlik çözümü için görünmez hale gelir. Bellenimin sabit sürücüde değil, anakarttaki flash bellekte bulunması da CosmicStrand saldırılarının tespit edilmesini zorlaştırıyor. Şu anda Kaspersky Lab’ın güvenlik çözümleri bu kötü amaçlı yazılımı başarılı bir şekilde tespit edip engelliyor ve tehdit veritabanını düzenli olarak güncellemeye devam ediyoruz.