Un misterioso rootkit UEFI è stato trovato sulle schede madri Gigabyte e Asus

I ricercatori di Kaspersky Lab hanno scoperto una nuova versione di un rootkit UEFI chiamato CosmicStrand, che è associato a un gruppo cinese sconosciuto. Il malware è stato rilevato per la prima volta dalla società cinese Qihoo360 nel 2017.

Gli esperti non sono stati in grado di determinare il vettore di attacco iniziale, ma l’analisi del codice dannoso ha mostrato che il rootkit si trova nelle immagini del firmware delle schede madri Gigabyte e Asus che utilizzano il chipset H81 ed è rimasto inosservato per molto tempo.

Secondo un rapporto pubblicato da esperti di sicurezza informatica, lo scopo del malware è quello di interferire con il processo di avvio del sistema operativo e installare un impianto nel kernel su Windows , che verrà caricato ad ogni avvio del sistema operativo. 

Successivamente, uno shellcode viene iniettato nella memoria che si connette al server C&C per ricevere ed eseguire il payload dannoso sul dispositivo della vittima.

Il malware riceve il payload in diversi passaggi:

• Un pacchetto UDP o TCP appositamente predisposto viene inviato al server C&C (update.bokts[.]com);
• Il server C&C risponde inviando uno o più pacchetti contenenti 528 byte di dati al dispositivo della vittima;
• Successivamente, i pacchetti di dati vengono raccolti nella sequenza corretta ed entrano nello spazio del kernel.

I ricercatori sono stati in grado di scoprire che i cittadini di Cina, Vietnam, Iran e Russia, che non erano associati ad alcuna organizzazione privata o governativa, erano stati infettati dal rootkit. 

Inoltre, il codice di CosmicStrand coincide in parte con il codice della botnet MyKings e dell’impianto MoonBounce UEFI, motivo per cui il rootkit è attribuito agli sviluppatori cinesi.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore