Kaspersky araştırmacıları, işletim sistemi yeniden başlatılsa veya Windows yeniden yüklense bile kurbanın makinesinde kalan ve onu uzun vadede çok tehlikeli hale getiren gelişmiş bir kalıcı tehdit (APT) aktörü tarafından geliştirilen yeni bir rootkiti ortaya çıkardı. "CosmicStrand" olarak adlandırılan bu UEFI firmware rootkit, Vietnam, İran ve Rusya'da nadir görülen vakalarla, büyük ölçüde Çin'deki özel kişilere saldırmak için kullanıldı.

UEFI firmware, donanımların büyük çoğunluğunda kritik bir bileşendir. İçeriğindeki kod cihazı başlatmaktan, işletim sistemini yükleyen yazılım bileşenini çalıştırmaktan sorumludur. UEFI firmware bir şekilde kötü amaçlı kod içerecek şekilde değiştirilirse, bu kod işletim sisteminden önce başlatılacak ve etkinliğini potansiyel olarak güvenlik çözümleri ve işletim sisteminin savunması tarafından görünmez hale getirecektir. Bunun sabit diskten ayrı bir yonga üzerinde bulunması, UEFI bellenimine yönelik saldırıları kaçamak ve kalıcı hale getirir. Çünkü işletim sistemi kaç kez yeniden yüklenirse yüklensin, kötü amaçlı yazılım cihazda kalır.

Kaspersky araştırmacıları tarafından yapılan son UEFI firmware keşfi olan CosmicStrand, daha önce bilinmeyen bir Çince konuşan aktöre atfediliyor. Saldırganların nihai hedefleri bilinmemekle birlikte, etkilenen kurbanların kurumsal bilgisayarların aksine bireysel kullanıcılar olduğu gözlemlendi.

Saldırıya uğrayan tüm makineler Windows tabanlıydı. Bilgisayar her açıldığında, Windows başlatıldıktan sonra bir miktar kötü amaçlı kod yürütüldü. Amacı bir C2 (komut ve kontrol) sunucusuna bağlanmak ve ek bir kötü amaçlı yürütülebilir dosya indirmekti.

Araştırmacılar, ilk etapta rootkitin virüslü makinelere nasıl bulaştığını belirleyemediler. Ancak çevrimiçi olarak keşfedilen doğrulanmamış hesaplar, bazı kullanıcıların çevrimiçi donanım bileşenleri sipariş ederken güvenliği ihlal edilmiş cihazlar aldığını gösteriyor.

CosmicStrand'in en çarpıcı yönü, UEFI implantının 2016'nın sonundan beri (UEFI saldırılarının kamuoyuna açıklanmaya başlamasından çok önce) açık ortamda kullanıldığı görülüyor.

Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT) Kıdemli Güvenlik Araştırmacısı Ivan Kwiatkowski, şunları söylüyor: “Yakın zaman önce keşfedilmesine rağmen CosmicStrand UEFI firmware rootkit oldukça uzun bir süredir kullanılıyor gibi görünüyor. Bu, bazı tehdit aktörlerinin 2017'den beri gözlerden uzak tutmayı başardıkları çok gelişmiş yeteneklere sahip olduğunu gösteriyor. Dahası henüz keşfetmediğimiz hangi yeni araçları yarattıklarını da merak ediyoruz.” 

CosmicStrand çerçevesinin ve bileşenlerinin daha ayrıntılı bir analizi Securelist'te yer alıyor.

Kaspersky, CosmicStrand gibi tehditlerden korunmak için şunları öneriyor:

SOC ekibinize en son tehdit istihbaratına (TI) erişimini sağlayın. Kaspersky Tehdit İstihbarat Portalı, TI için 20 yılı aşkın süredir Kaspersky tarafından toplanan siber saldırı verileri ve öngörüleri sağlayan tek bir erişim noktasıdır.

Kaspersky Endpoint Detection and Response gibi uç nokta düzeyinde olay algılama, araştırma ve hızla düzeltme için EDR çözümlerini kullanın.

Hedefli saldırıların çoğu kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığı için personelinize temel siber güvenlik hijyeni eğitimi sağlayın.

Kaspersky Endpoint Security for Business gibi firmware ihlalini algılayabilen sağlam bir uç nokta güvenlik ürünü kullanın.

UEFI sabit yazılımınızı düzenli olarak güncelleyin ve yalnızca güvenilir satıcıların ürün yazılımını kullanın.