研究者らは、少なくとも 6 年間にわたり、Asus および Gigabyte のマザーボードを搭載したシステムに密かに感染していた マルウェアを 発見しました。
Bleeping Computer のレポート によると、2016 年以来、中国語を話すハッカーが CosmicStrand マルウェアをマシンに侵入させてきました。
特に、悪意のあるコードが配布されると、特定のマザーボードのファームウェア イメージ内ではほとんど検出されないままになります。ファームウェア イメージをターゲットとするこの特定の方法は、Unified Extensible Firmware Interface (UEFI) ルートキットとして分類されます。
この株は、サイバーセキュリティ企業カスペルスキーの研究者らによって「CosmicStrand」と名付けられた。しかし、このマルウェアの前のバージョン (Spy Shadow Trojan と呼ばれる) は、Qihoo360 のアナリストによって最初に発見されました。
参考までに、UEFI はオペレーティング システムにハードウェア自体のファームウェアを接続する重要なアプリケーションです。そのため、UEFI コードは、システムのセキュリティ対策が講じられる前であっても、コンピューターの最初の起動時に実行されるものです。
その結果、UEFI ファームウェア イメージに配置されたマルウェアは、検出手段を回避するのに非常に効果的です。しかし、さらに懸念されるのは、オペレーティング システムをクリーンに再インストールしても技術的にはマルウェアを削除できないという事実です。ストレージドライブを交換しても取り除くことはできません。
「このドライバは、起動シーケンスを傍受し、悪意のあるロジックを導入するように変更されました」と、以前カスペルスキーのリバース エンジニアとして働いていたマーク・レチク氏は述べています。
カスペルスキーは、CosmicStrand UEFI ルートキットが、2013 年から 2015 年に販売されたハードウェアに関連する、H81 チップセットを利用する Gigabyte または Asus マザーボードのファームウェア イメージ内で発見されたことを発見したと発表しました。
CosmicStrandの被害者は中国、イラン、ベトナム、ロシア国内に住む個人であったため、国家、組織、業界とのつながりは確立できなかった。とはいえ、研究者らは、別のクリプトマイニング ボットネットに出現したコード パターンにより、CosmicStrand と中国語を話す攻撃者とのリンクを確認しました。
Kasperskyは、CosmicStrand UEFIファームウェアのルートキットは多かれ少なかれ、感染したシステム上に永久に残る可能性があると強調した。
UEFI マルウェアは、2018 年に別のオンライン セキュリティ会社である ESET によって初めて報告されました。 LoJax として知られるこのファイルは、APT28 グループに属するロシアのハッカーによって使用されていました。それ以来、システムに感染する UEFI ベースのルートキットの量は着実に増加しており、その中には 2012 年からスパイ活動目的で導入されていると言われているキットである ESPecter も含まれています。
セキュリティアナリストらは、今年初めにMoonBounceの形で「最先端の」UEFIファームウェアを検出したと述べた。
マルウェア コミュニティに関わるグループやハッカーにとって、今年は忙しい年でした。ごく最近では、攻撃者が Microsoft Calculator を使用して 悪意のあるコードを配布する ことに成功しましたが、Microsoft 自体も企業に自社の内部セキュリティ サービスへのアクセスを提供する 新しい取り組みを開始しました 。