Một số mainboard Gigabyte và Asus chứa mã độc UEFI

Các thiết bị Windows ở các nước như Nga, Trung Quốc, Iran và Việt Nam bị xâm phạm bởi mã độc UEFI được tìm thấy trên các bo mạch chủ của Gigabyte và Asus.

Công ty bảo mật ESET đã phát hiện ra bộ rootkit UEFI đầu tiên đã phổ biến vào năm 2018. Loại mã độc này từng là chủ đề gây tranh cãi của các nhà nghiên cứu bảo mật, và trong những năm qua mã độc này trở nên phổ biến hơn nhiều. 

Tuần này, các nhà nghiên cứu của Kaspersky đã tiết lộ một rootkit phần mềm độc hại mới có tên "CosmicStrand", được cho là tác phẩm của một nhóm Trung Quốc không rõ danh tính.

Các nhà nghiên cứu giải thích rằng bộ rootkit đã được phát hiện trong firmware của một số bo mạch chủ AsusGigabyte được trang bị chipset Intel H81, một trong những chipset tồn tại lâu nhất từ ​​thời Haswell, cuối cùng đã bị ngừng sản xuất vào năm 2020.

Một số mainboard Gigabyte và Asus chứa mã độc UEFI

Xem thêm: Ứng dụng chứa mã độc hại, nhận được 3 triệu lượt tải về trên Google Play Store

Vì firmware UEFI là đoạn mã đầu tiên chạy khi bạn bật máy tính, điều này làm cho CosmicStrand đặc biệt khó xóa so với các loại phần mềm độc hại khác. Phần mềm rootkit cũng khó bị phát hiện hơn và mở đường cho hacker cài đặt thêm mã độc vào hệ thống mà chúng đã nhắm mục tiêu.

Chỉ cần xóa sạch bộ nhớ trong PC của bạn sẽ không loại bỏ được sự lây nhiễm và cũng không cần thay thế hoàn toàn các thiết bị lưu trữ. UEFI thực chất là một hệ điều hành nhỏ sống bên trong chip, thường được hàn trên bo mạch chủ. Điều này có nghĩa là việc xóa CosmicStrand cần có các công cụ đặc biệt trong khi PC tắt nguồn. 

Ở thời điểm hiện tại, có vẻ như chỉ có các thiết bị Windows ở các nước như Nga, Trung Quốc, Iran và Việt Nam bị xâm phạm. Tuy nhiên, thiết bị UEFI đã được sử dụng rầm rộ từ cuối năm 2016, điều này làm tăng khả năng loại nhiễm trùng này phổ biến hơn so với giả định trước đây.

Trở lại năm 2017, công ty bảo mật Qihoo360 đã phát hiện ra một phiên bản đầu tiên của CosmicStrand. Trong những năm gần đây, các nhà nghiên cứu đã tìm thấy các rootkit UEFI bổ sung như MosaicRegressorFinSpy , ESpecter và MoonBounce .

Một số mainboard Gigabyte và Asus chứa mã độc UEFI

Đối với CosmicStrand, đây là một mã độc rất mạnh có kích thước dưới 100 kilobyte. Không có nhiều thông tin về cách nó hoạt động, nhưng cách thức hoạt động của nó rất đơn giản. Đầu tiên, mã độc này lây nhiễm vào quá trình khởi động bằng cách đặt cái gọi là "hooks".

Từ đó, hacker có thể cài đặt một hook khác dưới dạng một hàm trong nhân Windows được gọi trong quá trình khởi động tiếp theo. Chức năng này triển khai một mã shellcode trong bộ nhớ có thể liên hệ với máy chủ điều khiển và chỉ huy cũng như tải xuống phần mềm độc hại bổ sung trên PC bị nhiễm.

Một số mainboard Gigabyte và Asus chứa mã độc UEFI

Xem thêm:Động thái mới của Apple trong việc ngăn chặn các phần mềm theo dõi, Pegasus và Hermit

CosmicStrand cũng có thể vô hiệu hóa các bảo vệ hạt nhân như PatchGuard (được gọi là Microsoft Kernel Patch Protection), đây là một tính năng bảo mật quan trọng của Windows. Cũng có một số điểm tương đồng về mẫu mã giữa CosmicStrand và phần mềm độc hại liên quan đến mạng botnet MyKings , vốn đã được sử dụng để triển khai công cụ mã hóa trên máy tính của nạn nhân.

Các nhà nghiên cứu của Kaspersky lo lắng rằng CosmicStrand có thể là một trong nhiều rootkit firmware đã được ẩn trong nhiều năm. Kaspersky cũng lưu ý rằng "nhiều rootkit được phát hiện cho đến nay là bằng chứng cho thấy một điểm mù trong ngành và cần chúng được giải quyết nhanh nhất có thể.

 

Bài liên quan

Bài đọc nhiều nhất

Bài mới trong ngày

Apple có thể bỏ qua toàn bộ dòng chip M6 Pro, M6 Max và M6 Ultra để dồn lực cho M7 AI

Apple có thể bỏ qua toàn bộ dòng chip M6 Pro, M6 Max và M6 Ultra để dồn lực cho M7 AI

quânQuân Kít

Apple được cho là đang thực hiện một trong những thay đổi lớn nhất trong lộ trình phát triển chip Apple Silicon kể từ khi dòng M1 ra mắt. Thay vì tiếp tục phát triển đầy đủ các phiên bản M6 Pro, M6 Max và M6 Ultra như thông lệ, hãng được cho là sẽ chuyển trọng tâm sang thế hệ M7 với Neural Engine hoàn toàn mới, đặt trí tuệ nhân tạo (AI) làm trung tâm của chiến lược phần cứng trong nhiều năm tới.

Công Nghệ
Cơn sốt World Cup 2026: Khi các ông lớn bóng đá đại chiến giành... "Quyền nuôi dưỡng" siêu sao ảo Hatsune Miku

Cơn sốt World Cup 2026: Khi các ông lớn bóng đá đại chiến giành... "Quyền nuôi dưỡng" siêu sao ảo Hatsune Miku

hoanlagvnDũng Nhỏ TT

Một hiện tượng truyền thông vô cùng hy hữu và hài hước đang làm mưa làm gió khắp các diễn đàn mạng xã hội song song với nhịp đập của vòng chung kết World Cup 2026. Thay vì những màn khẩu chiến căng thẳng, cổ động viên các nước đang rầm rộ tham gia vào một trò đùa thế kỷ: Đội tuyển nào giành chiến thắng trong loạt trận sinh tử sẽ chính thức đoạt lấy "quyền giám hộ" và quyền thay đổi quốc tịch cho cô nàng ca sĩ ảo nổi tiếng thế giới Hatsune Miku.

Giải trí
Dân thiết kế, dựng phim, chỉnh ảnh nên chọn màn hình thế nào để tránh “sai màu”?

Dân thiết kế, dựng phim, chỉnh ảnh nên chọn màn hình thế nào để tránh “sai màu”?

Khoa NguyenNguyễn Tiến Khoa

Với dân thiết kế, dựng phim hay chỉnh ảnh, một màn hình hiển thị lệch màu có thể khiến thành phẩm khi in ấn, đăng mạng xã hội hoặc gửi khách hàng khác xa kỳ vọng. Vì vậy, chọn màn hình cho công việc sáng tạo không chỉ là chọn kích thước lớn, mà còn phải nhìn kỹ vào tấm nền, độ phân giải, màu sắc và khả năng cân chỉnh.

Công Nghệ
Lên đầu trang