Rootkit je jedním z nejnebezpečnějších typů malwaru, který může infikovat váš počítač. V červenci 2022 společnost Kaspersky objevila rootkit, který se konkrétně zaměřuje na firmware UEFI základních desek Gigabyte a Asus s čipovou sadou Intel H81. Tento rootkit, nazvaný CosmicStrand, by mohl být vážnou hrozbou pro váš počítač, protože jeho vývojáři jsou ATP (Advanced Persistent Threats).
Jsou notoricky známé tím, že vytvářejí smrtící hrozby pro přístup a ovládání počítačů a sítí. Překvapivě, maximum útoků CosmicStrand se stalo místním občanům Číny, Ruska, Vietnamu a Íránu namísto obchodních organizací.
Co je CosmicStrand a co dělá?
CosmicStrand je a rootkit, který útočníkům poskytuje úplnou kontrolu nad vaším počítačem aniž byste něco věděli. Zůstává nezjištěna žádným typem tradičních bezpečnostních opatření poté, co byla tajně nainstalována na Firmware UEFI vašeho zařízení Windows.
Kromě toho má rootkit CosmicStrand schopnost zůstat skrytý na zařízení oběti i po přeinstalaci nebo opravě operačního systému Windows. Díky této schopnosti je to velmi nebezpečné a něco, co nemůžete brát na lehkou váhu.
Tento rootkit umožňuje útočníkovi dělat na vašem počítači cokoli, včetně krádeže citlivých informací, instalace dalšího malwaru a dokonce převzetí celého systému.
Jak se CosmicStrand instaluje do počítačů?
Podle výzkumníka at KasperskyHackeři byli schopni nainstalovat CosmicStrand do firmwaru oběti provedením úprav ovladače CSMCORE DXE. Tato úprava přinutí ovladač, aby při spuštění systému spustil řadu kódů, které spouštějí stahování a instalaci komponenty CosmicStrand.
Zkoumáním infikovaných obrázků firmwaru výzkumníci zjistili, že útočníci provedli úpravy v CSMCORE Ovladač DXE získáním předchozího přístupu k počítači oběti a přepsáním firmwaru, aby se zavedl automat patcher. Tento automatický opravný program je zodpovědný za přesměrování vstupního bodu ovladače CSMCORE DXE na škodlivý kód uložený v souboru RELOC spustitelného souboru.
Jak můžete chránit svůj systém před CosmicStrand a dalšími rootkity?
Nejlepší způsob, jak chránit váš systém před CosmicStrand a dalšími rootkity, je nainstalovat robustní bezpečnostní řešení, které dokáže takové hrozby detekovat a odstranit.
Měli byste také udržovat svůj operační systém a veškerý software aktuální pomocí nejnovějších bezpečnostních záplat. To pomůže uzavřít všechny mezery, které mohou útočníci použít, aby se dostali do vašeho systému. Měl by jsi provádět aktualizace firmwaru a všechny další důležité aktualizace z oficiálních spolehlivých zdrojů.
Je také nezbytné vytvářet pravidelné zálohy vašich dat, abyste mohli obnovit systém v případě, že se nakazí rootkitem nebo jiným malwarem.
Kromě toho by bylo nejlepší, kdybyste také praktikovali základní bezpečnostní opatření, jako je neklikání na neznámé odkazy nebo přílohy, nestahování pirátského softwaru nebo obsahu z nedůvěryhodných webových stránek a nesdílení vašich osobních údajů s kýmkoliv. To vám pomůže chránit se před útoky sociálního inženýrství.
Měli byste se obávat o ComicStrand?
Od srpna 2022 existuje jen velmi málo případů útoků rootkit na ComicStrand. Vzhledem k propracovanosti rootkitu a jeho schopnosti zůstat skrytý se však v budoucnu můžeme dočkat dalších útoků. Také zatím jsou na cílovém seznamu ComicStrand pouze konkrétní základní desky od Gigabyte a Asus, ale je možné, že jsou ohroženi i ostatní výrobci základních desek.
Pokud máte základní desku Gigabyte nebo Asus s čipovou sadou Intel H81, je nezbytné zkontrolovat, zda není váš systém infikován, a pokud zjistíte rootkit, podnikněte kroky k jeho odstranění. Měli byste také nainstalovat spolehlivé bezpečnostní řešení, které ochrání váš systém před takovými hrozbami v budoucnu.
I když rootkit ComicStrand není rozšířenou hrozbou, je důležité si jej uvědomit a podniknout kroky k ochraně vašeho systému.