CosmicStrand является одной из изощренных вредоносных программ, проникающих в аппаратные части, взломать которые, как вам кажется, гораздо труднее, чем обычную ОС. Но «труднее» не значит «невозможно», как скажет вам любой исследователь кибербезопасности. Исследователи недавно обнаружили следы особенно изящной вредоносной программы, скрывающейся в материнских платах ASUS и Gigabyte на базе чипсета Intel H81. CosmicStrand начал развиваться с момента своего первого появления в 2016 году.

Исследователи из Лаборатории Касперского обнаружили вредоносное ПО, застрявшее в Unified Extensible Firmware Interface (UEFI) материнских плат — так сказать, в их загрузочном секторе, которому поручено идентифицировать, проверять и загружать все подключенные аппаратные биты. От простых вращающихся вентиляторов до возможностей разгона вашего ПК на новейших и лучших игровых процессорах — все это ведет к BIOS вашего ПК. Для ясности, это не первая обнаруженная подобная угроза. Их уже слишком много, и это увеличивает количество возможных векторов заражения.

Будучи первым, что запускается в вашей системе – вредоносные программы, содержащиеся в BIOS, чрезвычайно трудно удалить. Они могут обойти большинство антивирусных программ, не могут быть удалены при новой установке ОС, а также естественным образом переживают очистку хранилища — три наиболее распространенных способа избавиться от подобных угроз безопасности.

Ситуация становится особенно сложной, когда вредоносное ПО может развертываться на уровне ядра вашей ОС — при каждой загрузке. Напоминаем, что ядро является сердцем вашей ОС и отвечает за взаимодействие вашего оборудования с высокоуровневыми функциями операционной системы. Конечно, все операционные системы обладают защитой от несанкционированного доступа к ядру, но в данном случае решение Microsoft ThreatGuard нейтрализуется вредоносной программой перед запуском.

Как показывает анализ вредоносного ПО, проведенный «Лабораторией Касперского», захват ядра позволяет вредоносному ПО контролировать процесс запуска всей ОС, позволяя ему расставлять приоритеты процессов, которые позволят получить доступ к серверу управления и контроля. По оценке «Лаборатории Касперского», эта конкретная вредоносная программа должна была быть написана непосредственно для BIOS материнских плат.

На данный момент заражения вредоносным ПО, похоже, ограничены Китаем, Вьетнамом, Ираном и Россией. «Лаборатория Касперского» отмечает, что они обнаружили вредоносное ПО на трех компьютерах своих клиентов. У всех клиентов были разные версии защитного программного обеспечения «Лаборатории Касперского», и ни у одного из них не было общего доступа на ПК.

Анализ Kasperky показывает, что адаптированное вредоносное ПО CosmicStrand было создано китайскоязычными злоумышленниками из-за сходства кода с полезной нагрузкой, ответственной за ботнет MyKings, который сам по себе включал оставшиеся китайские иероглифы. Однако они могут быть помещены и с целью запутать исследователей вредоносного ПО. Требуется больше времени и, возможно, больше случаев, прежде чем будет получен какой-либо окончательный ответ.

Kasperky отмечает, что характеристики CosmicStrand относят его создание к 2016 году — именно столько времени этому вектору заражения удавалось быть незамеченным. В настоящее время неясно, сколько других компьютеров может быть заражено. Мы, вероятно, увидим рост числа заражений, поскольку «Лаборатория Касперского» и другие поставщики средств защиты изучают эту угрозу.