Rootkit ir viens no visbīstamākajiem ļaunprātīgas programmatūras veidiem, kas var inficēt jūsu datoru. 2022. gada jūlijā Kaspersky atklāja sakņu komplektu, kas īpaši paredzēts Gigabyte un Asus mātesplatēm ar Intel H81 mikroshēmojumu UEFI programmaparatūru. Šis saknes komplekts, ko sauc par CosmicStrand, var nopietni apdraudēt jūsu datoru, jo tā izstrādātājs ir Advanced Persistent Threats (ATP) dalībnieki.
Tie ir bēdīgi slaveni ar to, ka rada nāvējošus draudus, lai piekļūtu un kontrolētu datorus un tīklus. Pārsteidzoši, ka maksimālie CosmicStrand uzbrukumi ir notikuši vietējiem Ķīnas, Krievijas, Vjetnamas un Irānas pilsoņiem, nevis biznesa organizācijām.
Kas ir CosmicStrand un ko tas dara?
CosmicStrand ir a rootkit, kas nodrošina uzbrucējiem pilnīgu kontroli pār jūsu datoru tev neko nezinot. Tas paliek neatklāts nekāda veida tradicionālajiem drošības pasākumiem pēc tam, kad tas ir slēpts uzstādīts uz Jūsu Windows ierīces UEFI programmaparatūra.
Bez tam CosmicStrand saknes komplektam ir iespēja palikt paslēptam upura ierīcē pat pēc Windows operētājsistēmas atkārtotas instalēšanas vai remonta. Šī spēja padara to ļoti bīstamu un to, ko nevar uztvert viegli.
Šis saknes komplekts ļauj uzbrucējam jūsu datorā darīt visu, ko viņš vēlas, tostarp zagt sensitīvu informāciju, instalēt citu ļaunprātīgu programmatūru un pat pārņemt visu sistēmu.
Kā CosmicStrand tiek instalēts datoros?
Pēc pētnieka teiktā plkst Kaspersky, hakeri varēja instalēt CosmicStrand upura programmaparatūrā, veicot izmaiņas CSMCORE DXE draiverī. Šī modifikācija liek draiverim palaist virkni kodu sistēmas startēšanas laikā, kas aktivizē CosmicStrand komponenta lejupielādi un instalēšanu.
Pārbaudot inficētos programmaparatūras attēlus, pētnieki atklāja, ka uzbrucēji veica modifikācijas CSMCORE. DXE draiveri, iegūstot iepriekšēju piekļuvi upura datoram un pārrakstot programmaparatūru, lai ieviestu automatizēto lāpītājs. Šis automātiskais ielāps ir atbildīgs par CSMCORE DXE draivera ieejas punkta novirzīšanu uz ļaunprātīgo kodu, kas saglabāts izpildāmā faila RELOC failā.
Kā jūs varat aizsargāt savu sistēmu no CosmicStrand un citiem sakņu komplektiem?
Labākais veids, kā aizsargāt sistēmu no CosmicStrand un citiem sakņu komplektiem, ir instalēt spēcīgu drošības risinājumu, kas var atklāt un novērst šādus draudus.
Jums arī jāatjaunina operētājsistēma un visa programmatūra, izmantojot jaunākos drošības ielāpus. Tas palīdzēs novērst visas nepilnības, kuras uzbrucēji var izmantot, lai iekļūtu jūsu sistēmā. Jums vajadzētu veiciet programmaparatūras atjauninājumus un visus citus būtiskos atjauninājumus, izmantojot oficiālus, uzticamus avotus.
Ir arī svarīgi regulāri izveidot datu dublējumus, lai varētu atjaunot sistēmu gadījumā, ja tā tiek inficēta ar rootkit vai jebkuru citu ļaunprātīgu programmatūru.
Izņemot to, vislabāk būtu, ja jūs veiktu arī pamata drošības pasākumus, piemēram, neklikšķinātu uz nezināmām saitēm vai pielikumus, nelejupielādējot pirātisku programmatūru vai saturu no neuzticamām vietnēm un nekopīgojot savu personisko informāciju ar jebkuru. Tas jums palīdzēs pasargāt sevi no sociālās inženierijas uzbrukumiem.
Vai jums vajadzētu uztraukties par ComicStrand?
Kopš 2022. gada augusta ComicStrand rootkit uzbrukumu gadījumi ir ļoti maz. Tomēr, ņemot vērā sakņu komplekta izsmalcinātību un spēju palikt paslēptam, nākotnē mēs varam redzēt vairāk uzbrukumu. Turklāt pagaidām ComicStrand mērķa sarakstā ir tikai noteiktas Gigabyte un Asus mātesplates, taču iespējams, ka apdraudēti ir arī citi mātesplates ražotāji.
Ja jums ir Gigabyte vai Asus mātesplate ar Intel H81 mikroshēmojumu, ir svarīgi pārbaudīt, vai sistēma nav inficēta, un, ja atrodat saknes komplektu, veiciet darbības, lai to noņemtu. Jums arī jāinstalē uzticams drošības risinājums, lai aizsargātu sistēmu no šādiem draudiem nākotnē.
Lai gan ComicStrand saknes komplekts nav plaši izplatīts drauds, ir ļoti svarīgi to apzināties un veikt pasākumus, lai aizsargātu sistēmu.
