Эксперты «Лаборатории Касперского» отчитались об изучении обновленной версии вредоносного ПО CosmicStrand – ее удалось обнаружить на старых материнских платах ASUS и GIGABYTE чипсета Intel H81. Примечательно, что руткит был обнаружен в нескольких странах – как минимум в России, Китае, Вьетнаме и Ираке. Он базируется в чипе UEFI на материнской плате, который обычно никак не взаимодействует с SSD и жесткими дисками, также такой вредонос трудно или даже невозможно обнаружить при помощи антивирусов, избавиться же от него не поможет даже переустановка ОС – только перепрошивка чипа платы или полная замена устройства.

Точной информации о происхождении руткита у исследователей пока нет, но, по их мнению, в его истории прослеживается китайский след – в коде зловреда были выявлены паттерны, схожие с теми, что ранее наблюдались в заражающем майнинг-фермы ботнете MyKings. При этом массовый характер распространения CosmicStrand позволяет предположить, что неизвестным хакерам все же удалось найти какой-то эксплойт, позволяющий заражать чипы старых материнских плат с UEFI удаленно. Вероятно, в дальнейшем о механизмах распространения и работы вредоноса станет известно больше – его исследования еще не закончены.