Il malware CosmicStrand UEFI trovato in Gigabyte, schede madri ASUS
Pubblicato da Angelo Domeneghini in Adware - Malware - Phishing - Ransomware - Spoofing - Trojan · 26 Luglio 2022
Tags: #malware, #uefi, #gigabyte, #asus, #rootkit
Tags: #malware, #uefi, #gigabyte, #asus, #rootkit
Il malware CosmicStrand UEFI prende di mira Gigabyte e le schede madri ASUS
Gli hacker di lingua cinese utilizzano almeno dal 2016 malware che si trova praticamente inosservato nelle immagini del firmware di alcune schede madri, una delle minacce più persistenti comunemente nota come rootkit UEFI.
I ricercatori della società di sicurezza informatica Kaspersky l'hanno chiamato CosmicStrand, ma una variante precedente della minaccia è stata scoperta dagli analisti di malware di Qihoo360, che lo hanno chiamato Spy Shadow Trojan.
Non è chiaro come l'attore delle minacce sia riuscito a iniettare il rootkit nelle immagini del firmware delle macchine di destinazione, ma i ricercatori hanno trovato il malware su macchine con schede madri ASUS e Gigabyte.
Mistero rootkit UEFI
Il software Unified Extensible Firmware Interface (UEFI) è ciò che collega il sistema operativo di un computer con il firmware dell'hardware sottostante.
Il codice UEFI è il primo ad essere eseguito durante la sequenza di avvio di un computer, prima del sistema operativo e delle soluzioni di sicurezza disponibili.
Il malware inserito nell'immagine del firmware UEFI non è solo difficile da identificare, ma è anche estremamente persistente in quanto non può essere rimosso reinstallando il sistema operativo o sostituendo l'unità di archiviazione.
Un report di Kaspersky oggi fornisce dettagli tecnici su CosmicStrand, dal componente UEFI infetto alla distribuzione di un impianto a livello di kernel in un sistema Windows ad ogni avvio.
L'intero processo consiste nell'impostare hook per modificare il caricatore del sistema operativo e assumere il controllo dell'intero flusso di esecuzione per avviare lo shellcode che preleva il payload dal server di comando e controllo.
Catena di esecuzione di CosmicStrands
Panoramica dell'esecuzione del malware CosmicStrand UEFI
fonte: Kaspersky
Mark Lechtik, un ex reverse engineer di Kaspersky, ora alla Mandiant, che è stato coinvolto nella ricerca, spiega che le immagini del firmware compromesse sono state fornite con un driver CSMCORE DXE modificato, che consente un processo di avvio legacy.
"Questo driver è stato modificato in modo da intercettare la sequenza di avvio e introdurre una logica dannosa", osserva Lechtik in un tweet lunedì.
Sebbene la variante CosmicStrand scoperta da Kaspersky sia più recente, i ricercatori di Qihoo360 hanno divulgato nel 2017 i primi dettagli su una prima versione del malware.
I ricercatori cinesi hanno iniziato ad analizzare l'impianto dopo che una vittima ha riferito che il loro computer aveva creato un nuovo account di punto in bianco e il software antivirus continuava a avvisare di un'infezione da malware.
Secondo il loro rapporto, il sistema compromesso funzionava su una scheda madre ASUS di seconda mano che il proprietario aveva acquistato da un negozio online.
Kaspersky è stato in grado di determinare che il rootkit CosmicStrand UEFI era presente nelle immagini del firmware di schede madri Gigabyte o ASUS che hanno in comune design che utilizzano il chipset H81.
Questo si riferisce al vecchio hardware tra il 2013 e il 2015 che è per lo più interrotto oggi.
Non è chiaro come sia stato posizionato l'impianto sui computer infetti poiché il processo comporterebbe l'accesso fisico al dispositivo o tramite un malware precursore in grado di correggere automaticamente l'immagine del firmware.
Le vittime identificate da Kaspersky forniscono anche pochi indizi sull'attore della minaccia e sul loro obiettivo poiché i sistemi infetti identificati appartengono a privati in Cina, Iran, Vietnam e Russia che non possono essere collegati a un'organizzazione o a un'industria.
Vittime di CosmicStrands in tutto il mondo
fonte: Kaspersky
Tuttavia, i ricercatori hanno collegato CosmicStrand a un attore di lingua cinese sulla base di modelli di codice che sono stati visti anche nella botnet di cryptomining MyKings, dove gli analisti di malware di Sophos hanno trovato artefatti in lingua cinese.
Kaspersky afferma che il rootkit del firmware UEFI CosmicStrand può persistere nel sistema per l'intera vita del computer ed è stato utilizzato nelle operazioni per anni, dalla fine del 2016.
Il malware UEFI sta diventando più comune
Il primo report diffuso su un rootkit UEFI trovato in natura, LoJax, è arrivato nel 2018 da ESET ed è stato utilizzato negli attacchi degli hacker russi nel gruppo APT28 (alias Sednit, Fancy Bear, Sofacy).
Quasi quattro anni dopo e gli attacchi di malware UEFI in natura sono diventati più frequenti e non sono stati solo gli hacker avanzati a esplorare questa opzione:
Abbiamo appreso di MosaicRegressor da Kaspersky nel 2020, sebbene sia stato utilizzato in attacchi nel 2019 contro organizzazioni non governative.
Alla fine del 2020 è arrivata la notizia che gli sviluppatori di TrickBot avevano creato TrickBoot, un nuovo modulo che controllava le macchine compromesse per le vulnerabilità UEFI.
Un altro rootkit UEFI è stato rivelato alla fine del 2021 per essere sviluppato da Gamma Group come parte della loro soluzione di sorveglianza FinFisher.
Lo stesso anno, da ESET sono emersi dettagli su un altro bootkit chiamato ESPecter, ritenuto utilizzato principalmente per lo spionaggio e con origini che risalgono al 2012.