I nostri esperti hanno esaminato una nuova versione del rootkit CosmicStrand, rilevata nel firmware UEFI (Unified Extensible Firmware Interface) modificato — il codice lanciato prima del processo di avvio del sistema operativo quando il computer viene acceso.
I rischi del malware UEFI
Poiché il firmware UEFI è inserito in un chip sulla scheda madre e non è scritto sul disco rigido, risulta immune a ogni manipolazione di quest’ultimo. Per tale ragione è molto difficile sbarazzarsi di un malware UEFI: anche formattando il disco rigido e reinstallando il sistema operativo non si otterrà alcun risultato. E sempre per lo stesso motivo non tutte le soluzioni di sicurezza possono rilevare i malware che si sono insinuati in UEFI. Molto semplicemente: una volta che il malware si è fatto strada nel firmware, ci resterà.
Infettare UEFI non è ovviamente un compito semplice, in quanto richiede un accesso fisico al dispositivo oppure un meccanismo sofisticato per infettare il firmware da remoto. Inoltre, per raggiungere il suo scopo ultimo, qualunque esso sia, il malware non solo deve risiedere in UEFI ma deve insinuarsi nel sistema operativo all’avvio, il che non è così facile. Tutto ciò richiede un grande sforzo per essere portato a termine; questo spiega il motivo per cui questo malware si rileva principalmente in attacchi mirati contro individui di alto profilo oppure organizzazioni.
Vittime e possibili vettori d’infezione di CosmicStrand
Stranamente, le vittime di CosmicStrand che sono state identificate dai nostri esperti erano privati che utilizzavano il nostro antivirus in versione free. Apparentemente non avevano nulla a che fare con quel tipo di organizzazioni che in genere interessano cybercriminali di questo calibro. Si è inoltre scoperto che, in tutti i casi conosciuti, le schede madri infette provenivano da due soli produttori. È quindi plausibile che i cybercriminali abbiano riscontrato alcune vulnerabilità in comune in queste schede madri e ciò abbia reso possibile l’infezione.
Non è noto come i cybercriminali siano riusciti esattamente ad insinuare il malware. Il fatto che le vittime di CosmicStrand fossero “pesci piccoli” indica che i malintenzionati dietro questo rootkit possono infettare UEFI da remoto. Ma potrebbero esistere anche altre spiegazioni. Per esempio, gli esperti di Qihoo 360 che hanno studiato alcune precedenti versioni di un CosmicStrand vintage del 2016 suggeriscono che una delle vittime abbia acquistato da un rivenditore una scheda madre modificata. In questo caso i nostri esperti non sono stati in grado di confermare la tecnica precisa di infezione.
Come agisce CosmicStrand
Lo scopo principale di CosmicStrand è quello di scaricare un programma malevolo all’avvio del sistema operativo, che svolge poi i task fissati dai cybercriminali. Passando inosservato attraverso tutti gli step del processo di avvio del sistema operativo, il rootkit alla fine esegue un codice shell e contatta il server C2 dei cybercriminali, dal quale riceve un payload malevolo.
I nostri esperti non sono riusciti ad intercettare il file che il rootkit ha ricevuto dal suo server C2. Tuttavia, sono riusciti a trovare un componente malware su una delle macchine infette, probabilmente riconducibile a CosmicStrand. Questo malware crea un user denominato “aaaabbbb” all’interno del sistema operativo con privilegi di amministratore locale. Per maggiori dettagli tecnici su CosmicStrand, date un’occhiata al post dei nostri esperti su Securelist.
Dobbiamo avere paura dei rootkit?
I cybercriminali utilizzano CosmicStrand dal 2016, senza aver mai attirato in modo particolare l’attenzione degli specialisti di sicurezza informatica. Ciò è naturalmente preoccupante, ma non è poi così negativo. Per iniziare, si tratta di un malware sofisticato e costoso, utilizzato per attacchi mirati e non di massa ̶- anche se, talvolta, vengono verosimilmente infettate anche persone qualunque. Inoltre, esistono prodotti in grado di individuarlo. Per esempio, le nostre soluzioni di sicurezza proteggono i nostri utenti dai rootkit.