Rootkit on yksi vaarallisimmista haittaohjelmista, jotka voivat saastuttaa tietokoneesi. Heinäkuussa 2022 Kaspersky löysi rootkitin, joka kohdistuu erityisesti Gigabyte- ja Asus-emolevyjen UEFI-laiteohjelmistoon Intel H81 -piirisarjalla. Tämä CosmicStrand-niminen rootkit voi olla vakava uhka tietokoneellesi, koska Advanced Persistent Threats (ATP) -toimijat ovat sen kehittäjiä.
Ne ovat tunnetusti kuuluisia tappavien uhkien luomisesta tietokoneiden ja verkkojen käyttöön ja hallintaan. Yllättäen suurimmat CosmicStrand-hyökkäykset ovat tapahtuneet paikallisille Kiinan, Venäjän, Vietnamin ja Iranin kansalaisille liike-elämän organisaatioiden sijaan.
Mikä CosmicStrand on ja mitä se tekee?
CosmicStrand on a rootkit, jonka avulla hyökkääjät voivat hallita tietokonettasi täydellisesti tietämättäsi mitään. Mikään perinteinen suojaus ei havaitse sitä sen jälkeen, kun se on asennettu varkain Windows-laitteesi UEFI-laiteohjelmisto.
Tämän lisäksi CosmicStrand-rootkit pystyy pysymään piilossa uhrin laitteessa, vaikka Windows-käyttöjärjestelmä on asennettu uudelleen tai korjattu. Tämä kyky tekee siitä erittäin vaarallisen ja jotain, jota et voi ottaa kevyesti.
Tämä rootkit antaa hyökkääjälle mahdollisuuden tehdä tietokoneellasi mitä tahansa, mukaan lukien arkaluonteisten tietojen varastaminen, muiden haittaohjelmien asentaminen ja jopa koko järjestelmän haltuunotto.
Kuinka CosmicStrand asennetaan tietokoneisiin?
Tutkijan mukaan osoitteessa Kaspersky, hakkerit pystyivät asentamaan CosmicStrandin uhrin laiteohjelmistoon tekemällä muutoksia CSMCORE DXE -ohjaimeen. Tämä muutos pakottaa ohjaimen suorittamaan sarjan koodeja järjestelmän käynnistyksessä, joka käynnistää CosmicStrand-komponentin latauksen ja asennuksen.
Tutkiessaan tartunnan saaneita laiteohjelmistokuvia tutkijat havaitsivat, että hyökkääjät tekivät muutoksia CSMCOREen DXE-ajuri saamalla ennen pääsyn uhrin tietokoneeseen ja kirjoittamalla laiteohjelmiston päälle automaattisen käyttöönoton paikkaus. Tämä automaattinen korjausohjelma on vastuussa CSMCORE DXE -ohjaimen tulokohdan uudelleenohjaamisesta suoritettavan tiedoston RELOC-tiedostoon tallennettuun haittakoodiin.
Kuinka voit suojata järjestelmääsi CosmicStrandilta ja muilta rootkit-ohjelmilta?
Paras tapa suojata järjestelmääsi CosmicStrandilta ja muilta rootkit-ohjelmilta on asentaa vankka tietoturvaratkaisu, joka tunnistaa ja poistaa tällaiset uhat.
Sinun tulee myös pitää käyttöjärjestelmäsi ja kaikki ohjelmistosi ajan tasalla uusimmilla tietoturvakorjauksilla. Tämä auttaa sulkemaan kaikki porsaanreiät, joita hyökkääjät voivat käyttää päästäkseen järjestelmääsi. Sinun pitäisi suorita laiteohjelmistopäivitykset ja kaikki muut olennaiset päivitykset virallisista, luotettavista lähteistä.
On myös tärkeää luoda säännöllisesti varmuuskopioita tiedoistasi, jotta voit palauttaa järjestelmäsi, jos se saa rootkit- tai muun haittaohjelman tartunnan.
Muuten olisi parasta, jos harjoittaisit myös perusturvatoimia, kuten tuntemattomien linkkien napsauttaminen tai liitteitä, laittoman ohjelmiston tai sisällön lataaminen epäluotettavilta verkkosivustoilta ja henkilökohtaisten tietojen jakaminen kenenkään kanssa. Tämä auttaa sinua suojautua sosiaalisilta manipuloinneilta.
Pitäisikö sinun olla huolissaan ComicStrandista?
Elokuussa 2022 ComicStrand-rootkit-hyökkäyksiä on ollut hyvin vähän. Kuitenkin, kun otetaan huomioon rootkitin kehittyneisyys ja sen kyky pysyä piilossa, saatamme nähdä lisää hyökkäyksiä tulevaisuudessa. Myös toistaiseksi vain tietyt Gigabyten ja Asuksen emolevyt ovat ComicStrandin kohdelistalla, mutta on mahdollista, että myös muut emolevyvalmistajat ovat vaarassa.
Jos sinulla on Gigabyte- tai Asus-emolevy, jossa on Intel H81 -piirisarja, on tärkeää tarkistaa, onko järjestelmässäsi tartuntaa, ja jos havaitset rootkitin, poista se. Sinun tulisi myös asentaa luotettava suojausratkaisu, joka suojaa järjestelmääsi tällaisilta uhilta tulevaisuudessa.
Vaikka ComicStrand-rootkit ei ole laajalle levinnyt uhka, on erittäin tärkeää olla tietoinen siitä ja ryhtyä toimiin järjestelmän suojaamiseksi.
