Theo phát hiện mới đây, các hacker Trung Quốc đã tìm cách tích hợp malware vào những file firmware image cho một số bo mạch chủ H81 từ năm 2016 mà không bị phát hiện. Đây là một trong những mối đe dọa cực kỳ nguy hiểm và khó giải quyết.
Các nhà nghiên cứu tại công ty an ninh mạng Kaspersky gọi nó là CosmicStrand, nhưng một biến thể trước đó của mối đe dọa này đã được các nhà phân tích malware tại Qihoo360 phát hiện và đặt tên là Spy Shadow Trojan. Không rõ bằng cách nào mà kẻ đe dọa có thể đưa bộ rootkit vào firmware image của bảng mạch của máy tính. Nhưng các nhà nghiên cứu đã tìm thấy malware này trên những bo mạch chủ ASUS và Gigabyte.
Mark Lechtik, một cựu kỹ sư giải thích rằng các firmware image bị nhiễm đi kèm với trình điều khiển CSMCORE DXE đã bị tinh chỉnh, giúp kích hoạt quy trình Legacy boot. Lechtik lưu ý trong một tweet: “Trình điều khiển này đã được sửa đổi nhằm ngăn chặn tiến trình khởi động và đưa logic độc hại vào.” Dẫu biến thể CosmicStrand chỉ mới được Kaspersky mới phát hiện ra gần đây, thế nhưng, các nhà nghiên cứu tại Qihoo360 đã tiết lộ những chi tiết ban đầu về phiên bản đầu tiên của phần mềm độc hại này hồi năm 2017. Các nhà nghiên cứu Trung Quốc phải phân tích quá trình cấy ghép sau khi nạn nhân báo cáo rằng máy tính của họ đã tạo một tài khoản mới, phần mềm chống virus liên tục cảnh báo về việc lây nhiễm malware. Theo báo cáo của họ, hệ thống bị xâm nhập chạy trên bo mạch chủ ASUS đã qua sử dụng mà chủ sở hữu mua từ một cửa hàng trực tuyến. Theo xác định của Kaspersky, UEFI rootkit CosmicStrand đã được đưa vào firmware image của những bo mạch chủ Gigabyte hoặc ASUS có thiết kế chung, sử dụng chipset H81. Điều này cho thấy nó dường như chỉ ảnh hưởng đến những phần cứng cũ trong giai đoạn năm 2013 – 2015 và hầu hết chúng đã ngừng sản xuất ở hiện tại. Vẫn chưa rõ cách thức cấy ghép malware vào các máy tính bởi quá trình này sẽ liên quan đến quyền truy cập vật lý vào thiết bị hoặc thông qua một malware đi trước, có khả năng tự động vá vào firmware image. Các nạn nhân mà Kaspersky xác định cũng cung cấp một số manh mối về tác nhân đe dọa đó cũng như mục tiêu của chúng. Hầu hết các hệ thống bị lây nhiễm đều thuộc về khách hàng tư nhân ở Trung Quốc, Iran, Việt Nam và Nga.
Tuy nhiên, các nhà nghiên cứu đã phỏng đoán CosmicStrand đến từ một kẻ xấu nào đó nói tiếng Trung Quốc, dựa trên những đoạn mẫu code bên trong. Chúng cũng được tìm thấy trong mạng botnet đào tiền mã hóa MyKings, vốn cũng có những yếu tố tiếng Trung. Kaspersky cho biết, UEFI firmware rootkit CosmicStrand có thể tồn tại trên hệ thống trong suốt thời gian hoạt động của máy tính và đã được sử dụng cho mọi hoại động trong nhiều năm qua kể từ cuối năm 2016.
Gần 4 năm sau, số lượng cuộc tấn công malware UEFI trong đời thực đã tăng lên nhiều hơn và không chỉ những hacker lớn mạnh mới khai thác phương pháp này. Năm 2020, Kaspersky đã phát hiện ra MosaicRegressor, dù nó đã được sử dụng trong các cuộc tấn công nhắm vào các tổ chức phi chính phủ hồi năm 2019. Cuối năm 2020, có thông tin cho rằng các nhà phát triển TrickBot đã tạo ra TrickBoot, một mô-đun mới kiểm tra những cỗ máy bị xâm nhập dựa trên các lỗ hổng UEFI. Hay vào năm 2021, một UEFI rootkit khác do Gamma Group phát triển cũng được phát hiện. Đây là một phần trong giải pháp giám sát FinFisher của họ. Trong cùng năm đó, ESET cũng cảnh báo một bootkit khác có tên là ESPecter, dường như chủ yếu được sử dụng cho hoạt động gián điệp và có nguồn gốc từ năm 2012. Trong khi đó, MoonBounce được coi là một trong những phần mềm firmware UEFI phức tạp nhất. Nó được một nhóm hacker Trung Quốc có tên là Winnti (hay còn được gọi là APT41) sử dụng và vừa được phát hiện vào hồi tháng 1. Nguồn: Bleeping Computer
UEFI rootkit bí ẩn
Unified Extensible Firmware Interface (UEFI) là phần mềm kết nối hệ điều hành của máy tính với firmware của phần cứng. UEFI là đoạn mã đầu tiên chạy trong chuỗi khởi động của máy tính, trước hệ điều hành và các giải pháp bảo mật. Malware được cài đặt trong UEFI firmware image không chỉ khiến việc xác định trở nên khó khăn, mà nó còn bám cực kỳ dai dẳng vì không thể loại bỏ bằng cách cài đặt lại hệ điều hành hoặc thay thế ổ cứng lưu trữ. Báo cáo mới đây từ Kaspersky đã cung cấp các chi tiết kỹ thuật về CosmicStrand, từ thành phần UEFI bị nhiễm đến việc triển khai bộ cấy cấp kernel vào hệ thống Windows mỗi lần khởi động. Toàn bộ quá trình này bao gồm việc thiết lập các hook sửa đổi bộ tải hệ điều hành và kiểm soát toàn bộ luồng thực thi nhằm khởi chạy shellcode tìm nạp payload từ máy chủ lệnh và điều khiển.
Malware UEFI ngày càng phổ biến
Báo cáo phổ biến đầu tiên về bộ UEFI rootkit được tìm thấy trong đời thực là LoJax cho ESET phát hiện trong năm 2018. Nó đã được các hacker Nga trong nhóm APT28 (hay còn gọi là Sednit, Fancy Bear, Sofacy) sử dụng để tấn công nạn nhân.
