CosmicStrand en yenisi Tipik işletim sistemi kurulumunuzdan çok daha zor olduğunu düşündüğünüz donanım parçalarına ulaşan bir dizi karmaşık kötü amaçlı yazılımda. Ancak, herhangi bir siber güvenlik araştırmacısının size söyleyeceği gibi, ihlal edilmesi daha zor ulaşılamaz anlamına gelmez. Araştırmacılar son zamanlarda, Intel’in H81 yonga setini temel alan ASUS ve Gigabyte anakartlarda gizlenen özellikle şık bir kötü amaçlı yazılım parçası buldular. CosmicStrand, 2016’da ilk ortaya çıkışından bu yana evrim geçirdi ve şu anda bu çıkışın her iki şirketin daha büyük anakart pazarına yönelik teklifleriyle sınırlı olup olmadığı henüz belli değil.
Kaspersky laboratuvarlarından araştırmacılar, kötü amaçlı yazılımın anakartların Birleşik Genişletilebilir Ürün Yazılımı Arayüzü’nde (UEFI) – tabiri caizse tüm bağlı donanım bitlerini tanımlamak, doğrulamak ve başlatmakla görevli olan önyükleme sektörlerinde – mahsur kaldığını buldu. En yeni ve en iyi oyun CPU’larında bilgisayarınızın hız aşırtma yeteneklerine kadar dönen basit fanlardan PC’nizin BIOS’una kadar her şey sizi bekliyor. Açıklık sağlamak adına, bu tür keşfedilen ilk tehdit değil – ancak bir tanesi zaten çok fazla ve olası enfeksiyon vektörlerine katkıda bulunuyor.
Sisteminizde çalıştırılacak ilk şey olarak – sahip olabileceğiniz herhangi bir antivirüs çözümü belleğe yüklenmeden çok önce – BIOS kaynaklı kötü amaçlı yazılımların kaldırılması son derece zor olabilir. Çoğu antivirüs uygulamasından kaçabilir, yeni bir işletim sistemi kurulumuyla silinemez ve ayrıca, bunlar gibi güvenlik tehditlerinden kurtulmanın en yaygın yollarından üçü olan depolama silme işlemlerinden de doğal olarak kurtulur.
Kötü amaçlı yazılım, her önyüklemede, kendisini işletim sisteminize doğru çekirdek düzeyinde dağıtabildiğinde, işler özellikle zorlaşır. Bir hatırlatma olarak, çekirdek işletim sisteminizin kalbidir ve donanımınızın işletim sisteminin üst düzey işlevleriyle arabirim oluşturmasından sorumludur. Tabii ki, tüm işletim sistemlerinde çekirdek kurcalamaya karşı güvenlik önlemleri vardır, ancak bu durumda Microsoft’un çözümü ThreatGuard, yürütülmeden önce kötü amaçlı yazılım tarafından kısırlaştırılır.
Kaspersky’nin kötü amaçlı yazılım analizinin gösterdiği gibi, çekirdeği ele geçirmek, kötü amaçlı yazılımın tüm işletim sisteminin başlangıç akışını kontrol etmesine ve yükünün geri kalanını indirebileceği bir komut ve kontrol sunucusuna ulaşmasını sağlayacak işlemlere öncelik vermesine olanak tanır. . Kaspersky, bu belirli kötü amaçlı yazılım dizisinin doğrudan anakartların BIOS’u için yazılması gerektiğini tahmin ediyor – İnternet kaynaklı bir kit parçası gibi görünmüyor.
Şimdilik, enfeksiyonlar Çin, Vietnam, İran ve Rusya ile sınırlı görünüyor. Kaspersky, müşterilerinin üç bilgisayarında kötü amaçlı yazılım tespit ettiklerini belirtiyor. Tüm müşteriler Kaspersky’nin güvenlik yazılımının farklı sürümlerini çalıştırıyordu ve hiçbiri bir şirket, işveren veya başka bir yolla herhangi bir bağlantı paylaşmadı, bu da enfeksiyonların amacına dair bir gizem havası kattı.
Kasperky’nin analizi, uyarlanan CosmicStrand kötü amaçlı yazılımının, kendisi baştan sona Çince karakterler içeren MyKings botnetinden sorumlu yük ile kodlama benzerlikleri nedeniyle Çince konuşan tehdit aktörleri tarafından oluşturulduğunu gösteriyor. Tabii ki, bu siyah beyaz bir dünya değil: Çin parçacıkları, araştırmacıları raydan çıkarmak için oraya yerleştirilebilirdi. Kesin bir cevaba ulaşmadan önce daha fazla zamana ve belki de daha fazla vakaya ihtiyaç vardır.
Kaspersky, CosmicStrand’ın özelliklerinin yaratılışını 2016’da geri getirdiğini belirtiyor – bu enfeksiyon vektörünün fark edilmeden kaçmayı başardığı süre bu. Şu anda başka kaç bilgisayara bulaşabileceği belli değil. Kaspersky ve diğer güvenlik sağlayıcıları bu tehdide odaklandıkça enfeksiyon sayılarının arttığını görmemiz muhtemel.
Bu aynı zamanda, bugüne kadar bilinmeyen bir tehdidi daha da geliştirmek ve iyileştirmek için yıllar boyunca, BIOS kötü amaçlı yazılımlarının bugün ne hakkında gizlenmiş olabileceği sorusunu da gündeme getiriyor.
Siber güvenlik – ve asla sona ermeyecek – güvenlik araştırmacıları ve tehdit aktörleri arasında bir kedi ve fare oyunu. Ancak bu özel kötü amaçlı yazılım bulaşması hakkında bugün bildiklerimizi ve bunun nasıl başarıldığını göz önünde bulundurarak, kullanıcıların yalnızca ikinci el pazarında H81 tabanlı anakart satın alma konusunda dikkatli olmalarını önerebiliriz. Yaparlarsa, her zaman bir virüsten koruma denetimi çalıştırmayı unutmayın; bu, parçaları başka birinin kontrolünde olan donanım etrafında oluşturulmuş herhangi bir PC için iyi bir uygulamadır.
