По данным компании «Лаборатория Касперского», обнаружено вредоносное программное обеспечение, которое способно пережить переустановку операционной системы и тайно проникает в старые материнские платы Asus и Gigabyte.
Вредоносная программа, получившая название CosmicStrand, предназначена для заражения UEFI (Unified Extensible Firmware Interface) материнской платы и способна "выжить" на компьютере с операционной системой Windows, даже если данные на жестком диске были удалены.
В понедельник «Лаборатория Касперского» заявила, что обнаруженный вирус CosmicStrand распространился на компьютерах с Windows в Китае, Вьетнаме, Иране и России. Все жертвы использовали бесплатное антивирусное программное обеспечение Касперского.
Карта распределения вредоносного ПО CosmicStrand.
Расследование компании показало, что CosmicStrand был размещен на прошивках для старых материнских плат Asus и Gigabyte, которые использовали чипсет H81. Этот чипсет был выпущен в 2013 году, но на данный момент снят с производства.
Заражая UEFI материнской платы, CosmicStrand может запускать вредоносные процессы прямо при загрузке ПК. Это может привести к тому, что персональный компьютер "заразится" вредоносным компонентом с сервера, контролируемого хакерами и установит его в ОС Windows.
“К сожалению, нам не удалось получить копию данных, поступающих с сервера C2 (command and control)”, - сказал Касперский. Но компания обнаружила доказательства того, что "авторы" CosmicStrand пытались удаленно получить контроль над персональными компьютерами.
Касперский также не знает, как CosmicStrand попадает на компьютеры жертв. Но вполне возможно, что он попал с помощью другой вредоносной программы находящийся в системе или через хакеров, получивших физический доступ к оборудованию.
«Изучая полученные прошивки, специалисты пришли к выводу, что модификации могли быть выполнены с помощью автоматического патчера. Если это так, то это означает, что злоумышленники имели предварительный доступ к компьютеру жертвы, чтобы извлечь, изменить и перезаписать прошивку материнской платы», — добавил Касперский.
CosmicStrand — не первая вредоносная программа на основе UEFI; за прошедшие годы антивирусная индустрия обнаружила несколько других разновидностей. Но похоже, что CosmicStrand уже несколько лет скрывался от антивирусов. Расследование «Лаборатории Касперского» показало, что вредоносное ПО связывалось с контролируемым хакерами сервером, который впервые появился в декабре 2016 года. На другой компьютере был обнаружен вирус, который отправлял данные на контролируемый хакерами сервер с 2020 года.
Серверы к которым подключилось вредоносного ПО. (Касперский)
Кроме того, Касперский сообщил, что китайский производитель антивирусов Qihoo 360 также обнаружил ранний вариант CosmicStrand еще в 2017 году, заражающий материнскую плату Asus B85M.
“Первоначальный отчет Qihoo указывает на то, что пользователи покупали "зараженную" материнскую плату с рук у мошенников на интернет-площадках. Мы не можем подтвердить эту информацию”, - добавил Касперский. В настоящее время компания подозревает, что CosmicStrand создали китайские хакеры, ссылаясь на то, что его компьютерный код совпадает с другим вредоносным ПО, связанным с китайскими хакерами.
"Продукты Kaspersky обнаружат эту угрозу и предотвратят ее надлежащее выполнение, что сделает ее безвредной, но я не уверен, что мы сможем выполнить дезинфекцию прошивки, поскольку существует риск повреждения компьютера пользователя", — сказал PCMag аналитик компании по вредоносным программам Иван Квятковский.
«Антивирус Kaspersky обнаружит вредоносное ПО и предотвратит ее дальнейшее функционирование, но я не уверен, что мы сможем провести полную "дезинфекцию" прошивки, так как существует риск повреждения компьютера пользователя», — сказал аналитик компании по вредоносным программам Иван Квятковски.
«Единственный способ удалить CosmicStrand — это перепрошить материнскую плату. Данную операцию можно выполнить через BIOS (только для опытных пользователей) или с помощью утилит, предоставляемых поставщиком оборудования», — добавил он. «Альтернативный способ удаления этого вируса — заменить материнскую плату компьютера, а затем переустановить Windows».
