Các thiết bị Windows ở các nước như Nga, Trung Quốc, Iran và Việt Nam bị xâm phạm bởi mã độc UEFI được tìm thấy trên các bo mạch chủ của Gigabyte và Asus.
Công ty bảo mật ESET đã phát hiện ra bộ rootkit UEFI đầu tiên đã phổ biến vào năm 2018. Loại mã độc này từng là chủ đề gây tranh cãi của các nhà nghiên cứu bảo mật, và trong những năm qua mã độc này trở nên phổ biến hơn nhiều.
Tuần này, các nhà nghiên cứu của Kaspersky đã tiết lộ một rootkit phần mềm độc hại mới có tên "CosmicStrand", được cho là tác phẩm của một nhóm Trung Quốc không rõ danh tính.
Các nhà nghiên cứu giải thích rằng bộ rootkit đã được phát hiện trong firmware của một số bo mạch chủ Asus và Gigabyte được trang bị chipset Intel H81, một trong những chipset tồn tại lâu nhất từ thời Haswell, cuối cùng đã bị ngừng sản xuất vào năm 2020.
![Một số mainboard Gigabyte và Asus chứa mã độc UEFI]( "Mot so mainboard Gigabyte va Asus chua ma doc UEFI")
Xem thêm: Ứng dụng chứa mã độc hại, nhận được 3 triệu lượt tải về trên Google Play Store
Vì firmware UEFI là đoạn mã đầu tiên chạy khi bạn bật máy tính, điều này làm cho CosmicStrand đặc biệt khó xóa so với các loại phần mềm độc hại khác. Phần mềm rootkit cũng khó bị phát hiện hơn và mở đường cho hacker cài đặt thêm mã độc vào hệ thống mà chúng đã nhắm mục tiêu.
Chỉ cần xóa sạch bộ nhớ trong PC của bạn sẽ không loại bỏ được sự lây nhiễm và cũng không cần thay thế hoàn toàn các thiết bị lưu trữ. UEFI thực chất là một hệ điều hành nhỏ sống bên trong chip, thường được hàn trên bo mạch chủ. Điều này có nghĩa là việc xóa CosmicStrand cần có các công cụ đặc biệt trong khi PC tắt nguồn.
Ở thời điểm hiện tại, có vẻ như chỉ có các thiết bị Windows ở các nước như Nga, Trung Quốc, Iran và Việt Nam bị xâm phạm. Tuy nhiên, thiết bị UEFI đã được sử dụng rầm rộ từ cuối năm 2016, điều này làm tăng khả năng loại nhiễm trùng này phổ biến hơn so với giả định trước đây.
Trở lại năm 2017, công ty bảo mật Qihoo360 đã phát hiện ra một phiên bản đầu tiên của CosmicStrand. Trong những năm gần đây, các nhà nghiên cứu đã tìm thấy các rootkit UEFI bổ sung như MosaicRegressor, FinSpy , ESpecter và MoonBounce .
![Một số mainboard Gigabyte và Asus chứa mã độc UEFI]( "Mot so mainboard Gigabyte va Asus chua ma doc UEFI 2")
Đối với CosmicStrand, đây là một mã độc rất mạnh có kích thước dưới 100 kilobyte. Không có nhiều thông tin về cách nó hoạt động, nhưng cách thức hoạt động của nó rất đơn giản. Đầu tiên, mã độc này lây nhiễm vào quá trình khởi động bằng cách đặt cái gọi là "hooks".
Từ đó, hacker có thể cài đặt một hook khác dưới dạng một hàm trong nhân Windows được gọi trong quá trình khởi động tiếp theo. Chức năng này triển khai một mã shellcode trong bộ nhớ có thể liên hệ với máy chủ điều khiển và chỉ huy cũng như tải xuống phần mềm độc hại bổ sung trên PC bị nhiễm.
![Một số mainboard Gigabyte và Asus chứa mã độc UEFI]( "Mot so mainboard Gigabyte va Asus chua ma doc UEFI 3")
Xem thêm:Động thái mới của Apple trong việc ngăn chặn các phần mềm theo dõi, Pegasus và Hermit
CosmicStrand cũng có thể vô hiệu hóa các bảo vệ hạt nhân như PatchGuard (được gọi là Microsoft Kernel Patch Protection), đây là một tính năng bảo mật quan trọng của Windows. Cũng có một số điểm tương đồng về mẫu mã giữa CosmicStrand và phần mềm độc hại liên quan đến mạng botnet MyKings , vốn đã được sử dụng để triển khai công cụ mã hóa trên máy tính của nạn nhân.
Các nhà nghiên cứu của Kaspersky lo lắng rằng CosmicStrand có thể là một trong nhiều rootkit firmware đã được ẩn trong nhiều năm. Kaspersky cũng lưu ý rằng "nhiều rootkit được phát hiện cho đến nay là bằng chứng cho thấy một điểm mù trong ngành và cần chúng được giải quyết nhanh nhất có thể.