I ricercatori di Kaspersky hanno scoperto un rootkit sviluppato da un threat actor APT che rimane sul computer della vittima anche se il sistema operativo viene riavviato o Windows viene reinstallato, rendendolo molto pericoloso e persistente. Denominato CosmicStrand, questo rootkit del firmware UEFI è stato utilizzato principalmente per attaccare privati in Cina, e in rari casi in Vietnam, Iran e Russia.
Il firmware UEFI è un componente critico nella maggior parte degli hardware. Il suo codice è responsabile dell’avvio di un dispositivo, con il conseguente lancio del componente software che carica il sistema operativo. Se il firmware UEFI viene, in qualche modo, modificato per includere un codice dannoso, esso verrà lanciato prima del sistema operativo, rendendo la sua attività potenzialmente invisibile alle soluzioni di sicurezza e alle difese dello stesso. Questo aspetto, unito al fatto che il firmware risiede su un chip separato dal disco rigido, rende gli attacchi contro il firmware UEFI eccezionalmente sfuggenti e persistenti perché, indipendentemente dal numero di reinstallazioni del sistema operativo, il malware rimarrà sul dispositivo.
CosmicStrand, scoperto dai ricercatori di Kaspersky, è attribuito a un threat actor di lingua cinese precedentemente sconosciuto. Sebbene l’obiettivo finale perseguito dagli attaccanti rimanga tuttora ignoto, è stato osservato che le vittime colpite sono singoli utenti e non computer aziendali.
Tutti i computer attaccati erano basati su Windows: a ogni riavvio del computer, dopo l’avvio di Windows, veniva eseguito una parte del codice dannoso. Il suo scopo era connettersi a un server C2 (command-and-control) e scaricare un ulteriore codice eseguibile dannoso.
Inoltre, i ricercatori non sono stati in grado di determinare come il rootkit sia finito sui computer infetti, ma fonti online non confermate, segnalano che alcuni utenti hanno ricevuto dispositivi compromessi mentre ordinavano componenti hardware online.
L’aspetto più sorprendente di CosmicStrand è che l’impianto UEFI sembra essere stato utilizzato liberamente dalla fine del 2016, molto prima che gli attacchi iniziassero a essere descritti pubblicamente.
“Nonostante sia stato scoperto di recente, il rootkit del firmware UEFI CosmicStrand sembra in circolazione da parecchio tempo. Ciò indica che alcuni threat actor dispongono di capacità molto avanzate che sono riusciti a tenere sottotraccia dal 2017. Ci chiediamo quali nuovi strumenti abbiano creato nel frattempo, che ancora non abbiamo scoperto”, ha commentato Ivan Kwiatkowski, Senior Security Researcher del Global Research and Analysis Team (GReAT) di Kaspersky.
Per rimanere protetti da minacce come CosmicStrand, Kaspersky consiglia di:
- Fornire al team SOC l’accesso alle informazioni più recenti sulle minacce (TI).
- Implementare soluzioni EDR per il rilevamento a livello di endpoint, l’investigazione e la rapida risoluzione degli incidenti.
- Fornire al personale una formazione di base sull’igiene della sicurezza informatica, poiché molti attacchi mirati iniziano con il phishing o altre tecniche di social engineering.
- Usare un prodotto affidabile per la sicurezza degli endpoint in grado di rilevare l’uso del firmware.
- Aggiornare regolarmente il firmware UEFI e utilizzare solo firmware di fornitori affidabili.
Anche se l’implementazione dell’UEFI comporta interfacce e funzioni diverse da dispositivo a dispositivo e a seconda del produttore del PC, le basi del firmware UEFI differiscono solo leggermente. Di conseguenza, negli ultimi anni il firmware UEFI di alcuni produttori è risultato vulnerabile, in quanto è stato possibile per gli attaccanti aggirare le funzioni di sicurezza dell’UEFI.
Per evitare questo problema, e rimanere protetti dalle minacce, Kaspersky consiglia agli utenti privati di:
- Aggiornare il firmware con aggiornamenti regolari, applicati dal sistema operativo.
- Acquistare hardware solo da venditori e fornitori affidabili.
- Controllare il sito web del produttore del computer o della scheda madre per verificare se l’hardware supporta Intel Boot Guard, che impedisce la modifica non autorizzata del firmware UEFI.