Theo phát hiện mới đây, các hacker Trung Quốc đã tìm cách tích hợp malware vào những file firmware image cho một số bo mạch chủ H81 từ năm 2016 mà không bị phát hiện. Đây là một trong những mối đe dọa cực kỳ nguy hiểm và khó giải quyết.
Các nhà nghiên cứu tại công ty an ninh mạng Kaspersky gọi nó là CosmicStrand, nhưng một biến thể trước đó của mối đe dọa này đã được các nhà phân tích malware tại Qihoo360 phát hiện và đặt tên là Spy Shadow Trojan. Không rõ bằng cách nào mà kẻ đe dọa có thể đưa bộ rootkit vào firmware image của bảng mạch của máy tính. Nhưng các nhà nghiên cứu đã tìm thấy malware này trên những bo mạch chủ ASUS và Gigabyte.
Mark Lechtik, một cựu kỹ sư giải thích rằng các firmware image bị nhiễm đi kèm với trình điều khiển CSMCORE DXE đã bị tinh chỉnh, giúp kích hoạt quy trình Legacy boot. Lechtik lưu ý trong một tweet: “Trình điều khiển này đã được sửa đổi nhằm ngăn chặn tiến trình khởi động và đưa logic độc hại vào.” Dẫu biến thể CosmicStrand chỉ mới được Kaspersky mới phát hiện ra gần đây, thế nhưng, các nhà nghiên cứu tại Qihoo360 đã tiết lộ những chi tiết ban đầu về phiên bản đầu tiên của phần mềm độc hại này hồi năm 2017. Các nhà nghiên cứu Trung Quốc phải phân tích quá trình cấy ghép sau khi nạn nhân báo cáo rằng máy tính của họ đã tạo một tài khoản mới, phần mềm chống virus liên tục cảnh báo về việc lây nhiễm malware. Theo báo cáo của họ, hệ thống bị xâm nhập chạy trên bo mạch chủ ASUS đã qua sử dụng mà chủ sở hữu mua từ một cửa hàng trực tuyến. Theo xác định của Kaspersky, UEFI rootkit CosmicStrand đã được đưa vào firmware image của những bo mạch chủ Gigabyte hoặc ASUS có thiết kế chung, sử dụng chipset H81. Điều này cho thấy nó dường như chỉ ảnh hưởng đến những phần cứng cũ trong giai đoạn năm 2013 – 2015 và hầu hết chúng đã ngừng sản xuất ở hiện tại. Vẫn chưa rõ cách thức cấy ghép malware vào các máy tính bởi quá trình này sẽ liên quan đến quyền truy cập vật lý vào thiết bị hoặc thông qua một malware đi trước, có khả năng tự động vá vào firmware image. Các nạn nhân mà Kaspersky xác định cũng cung cấp một số manh mối về tác nhân đe dọa đó cũng như mục tiêu của chúng. Hầu hết các hệ thống bị lây nhiễm đều thuộc về khách hàng tư nhân ở Trung Quốc, Iran, Việt Nam và Nga.
Tuy nhiên, các nhà nghiên cứu đã phỏng đoán CosmicStrand đến từ một kẻ xấu nào đó nói tiếng Trung Quốc, dựa trên những đoạn mẫu code bên trong. Chúng cũng được tìm thấy trong mạng botnet đào tiền mã hóa MyKings, vốn cũng có những yếu tố tiếng Trung. Kaspersky cho biết, UEFI firmware rootkit CosmicStrand có thể tồn tại trên hệ thống trong suốt thời gian hoạt động của máy tính và đã được sử dụng cho mọi hoại động trong nhiều năm qua kể từ cuối năm 2016.
Gần 4 năm sau, số lượng cuộc tấn công malware UEFI trong đời thực đã tăng lên nhiều hơn và không chỉ những hacker lớn mạnh mới khai thác phương pháp này. Năm 2020, Kaspersky đã phát hiện ra MosaicRegressor, dù nó đã được sử dụng trong các cuộc tấn công nhắm vào các tổ chức phi chính phủ hồi năm 2019. Cuối năm 2020, có thông tin cho rằng các nhà phát triển TrickBot đã tạo ra TrickBoot, một mô-đun mới kiểm tra những cỗ máy bị xâm nhập dựa trên các lỗ hổng UEFI. Hay vào năm 2021, một UEFI rootkit khác do Gamma Group phát triển cũng được phát hiện. Đây là một phần trong giải pháp giám sát FinFisher của họ. Trong cùng năm đó, ESET cũng cảnh báo một bootkit khác có tên là ESPecter, dường như chủ yếu được sử dụng cho hoạt động gián điệp và có nguồn gốc từ năm 2012. Trong khi đó, MoonBounce được coi là một trong những phần mềm firmware UEFI phức tạp nhất. Nó được một nhóm hacker Trung Quốc có tên là Winnti (hay còn được gọi là APT41) sử dụng và vừa được phát hiện vào hồi tháng 1. Nguồn: Bleeping Computer
Đánh giá JBL Tour Pro 3: bản nâng cấp ngập tràn công nghệ, xứng đáng là chiếc tai nghe có màn hình trên hộp sạc ngon nhất hiện nay