Kaspersky cảnh báo một số mainboard của Asus và Gigabyte đã nhiễm malware trong nhiều năm

Chia sẻ Facebook
01/08/2022 19:38:04

Theo Kaspersky, dù xóa sạch bộ nhớ PC cũng không loại bỏ được malware này

Các nhà nghiên cứu của Kaspersky gần đây đã tiết lộ một phần mềm rootkit (phần mềm cung cấp quyền truy cập liên tục vào máy tính một cách bí mật) mới có tên "CosmicStrand", được cho là đến từ Trung Quốc.

Các nhà nghiên cứu cho biết bộ rootkit đã được phát hiện trong firmware UEFI của một số bo mạch chủ Asus và Gigabyte được trang bị chipset Intel H81, một trong những chipset tồn tại lâu nhất từ thời Haswell, đã bị ngừng sản xuất vào năm 2020.

Vì firmware UEFI là đoạn mã đầu tiên chạy khi bạn bật máy tính, điều này khiến CosmicStrand đặc biệt khó bị xóa so với các loại phần mềm độc hại khác. Phần mềm rootkit cũng khó bị phát hiện hơn và mở đường cho tin tặc cài đặt thêm phần mềm độc hại vào hệ thống mục tiêu.

Dù xóa sạch bộ nhớ PC cũng không loại bỏ được malware này và thậm chí thay thế thiết bị lưu trữ cũng không được. Tương tự như BIOS nhưng hiện đại hơn, UEFI thực chất là một phần mềm tối giản để tương tác với các phần cứng, được nằm trong một chip nhớ bất biến (non-volatile, là bộ nhớ đảm bảo cho dữ liệu không bị hỏng mỗi khi mất điện) thường được hàn trên bo mạch chủ. Điều này có nghĩa là việc xóa CosmicStrand cần có các công cụ đặc biệt để hồi phục chip flash trong khi PC tắt nguồn.

Theo Kaspersky, có vẻ như chỉ có hệ thống Windows ở các nước như Nga, Trung Quốc, Iran và Việt Nam bị xâm phạm.

CosmicStrand là một phần mềm độc hại rất mạnh và có kích thước dưới 100 kilobyte. Không có nhiều thông tin về cách nó được đưa vào các hệ thống mục tiêu, nhưng cách thức hoạt động của nó rất đơn giản. Đầu tiên, nó lây nhiễm vào quá trình khởi động bằng cách cài các “hook” (kỹ thuật cho phép một hàm có thể chặn, theo dõi, xử lý, hoặc hủy bỏ các thông điệp trước khi chúng được tiếp nhận) vào một số điểm nhất định của luồng thực thi, nhằm thêm chức năng mà kẻ tấn công cần để sửa đổi bộ khởi động Windows kernel.

Từ đó, những kẻ tấn công có thể cài đặt một hook khác dưới dạng một hàm trong Windows kernel được sử dụng quá trình khởi động tiếp theo. Hàm này triển khai một mã shellcode trong bộ nhớ có thể liên hệ với máy chủ điều khiển và tải xuống phần mềm độc hại bổ sung trên PC bị nhiễm.

CosmicStrand cũng có thể vô hiệu hóa các lớp bảo vệ kernel như PatchGuard (Microsoft Kernel Patch Protection), đây là một tính năng bảo mật quan trọng của Windows.

Các nhà nghiên cứu của Kaspersky lo ngại rằng CosmicStrand có thể là một trong nhiều rootkit đã hoạt động ẩn trong nhiều năm, một “điểm mù” mà các chuyên gia cần phải giải quyết càng sớm càng tốt.


Tham khảo: TechSpot

Chia sẻ Facebook