„Rootkit“ yra viena pavojingiausių kenkėjiškų programų tipų, galinčių užkrėsti jūsų kompiuterį. 2022 m. liepos mėn. „Kaspersky“ atrado „rootkit“, kuris konkrečiai skirtas „Gigabyte“ ir „Asus“ pagrindinių plokščių su „Intel H81“ mikroschemų rinkiniu UEFI programinei įrangai. Šis „rootkit“, vadinamas „CosmicStrand“, gali kelti rimtą grėsmę jūsų kompiuteriui, nes jo kūrėjai yra „Advanced Persistent Threats“ (ATP) veikėjai.
Jie garsėja tuo, kad kelia mirtinus pavojus prieigai prie kompiuterių ir tinklų bei juos valdant. Keista, tačiau didžiausios „CosmicStrand“ atakos įvyko ne verslo organizacijoms, o vietiniams Kinijos, Rusijos, Vietnamo ir Irano piliečiams.
Kas yra CosmicStrand ir ką jis veikia?
CosmicStrand yra a rootkit, suteikiantis užpuolikams visišką jūsų kompiuterio kontrolę tau nieko nežinant. Jis lieka nepastebėtas jokiomis tradicinėmis apsaugos priemonėmis, kai jis slaptai įdiegtas „Windows“ įrenginio UEFI programinė įranga.
Be to, „CosmicStrand“ rootkit turi galimybę likti paslėptas aukos įrenginyje net iš naujo įdiegus ar pataisius „Windows“ operacinę sistemą. Dėl šio sugebėjimo tai labai pavojinga ir į tai, ko negalima žiūrėti lengvai.
Šis rootkit leidžia užpuolikui jūsų kompiuteryje daryti viską, ko nori, įskaitant slaptos informacijos vagystę, kitų kenkėjiškų programų diegimą ir net visos sistemos perėmimą.
Kaip „CosmicStrand“ įdiegiamas kompiuteriuose?
Pasak tyrėjo, adresu Kaspersky, įsilaužėliams pavyko įdiegti „CosmicStrand“ aukos programinėje įrangoje, atlikdami CSMCORE DXE tvarkyklės modifikacijas. Ši modifikacija priverčia tvarkyklę paleisti sistemos paleidimo kodų seriją, kuri suaktyvina CosmicStrand komponento atsisiuntimą ir įdiegimą.
Ištyrę užkrėstus programinės įrangos vaizdus, mokslininkai išsiaiškino, kad užpuolikai pakeitė CSMCORE DXE tvarkyklę iš anksto suteikdami prieigą prie aukos kompiuterio ir perrašydami programinę-aparatinę įrangą, kad įdiegtumėte automatizuotą lopytojas. Šis automatinis pleistras yra atsakingas už CSMCORE DXE tvarkyklės įėjimo taško nukreipimą į kenkėjišką kodą, saugomą vykdomosios programos RELOC faile.
Kaip galite apsaugoti savo sistemą nuo CosmicStrand ir kitų šakninių rinkinių?
Geriausias būdas apsaugoti sistemą nuo CosmicStrand ir kitų šakninių rinkinių yra įdiegti patikimą saugos sprendimą, galintį aptikti ir pašalinti tokias grėsmes.
Taip pat turėtumėte nuolat atnaujinti savo operacinę sistemą ir visą programinę įrangą naudodami naujausius saugos pataisymus. Tai padės uždaryti visas spragas, kurias užpuolikai gali panaudoti norėdami patekti į jūsų sistemą. Tu turėtum atlikti programinės įrangos atnaujinimus ir visus kitus esminius atnaujinimus iš oficialių, patikimų šaltinių.
Taip pat labai svarbu reguliariai kurti atsargines duomenų kopijas, kad galėtumėte atkurti sistemą, jei ji būtų užkrėsta rootkit ar bet kokia kita kenkėjiška programa.
Be to, būtų geriausia, jei naudotumėte ir pagrindines saugos priemones, pvz., nespustelėsite nežinomų nuorodų arba priedų, neatsisiunčiant piratinės programinės įrangos ar turinio iš nepatikimų svetainių ir nesidalinant savo asmenine informacija su bet kuo. Tai jums padės apsisaugokite nuo socialinės inžinerijos atakų.
Ar turėtumėte nerimauti dėl „ComicStrand“?
2022 m. rugpjūčio mėn. ComicStrand rootkit atakų atvejų buvo labai nedaug. Tačiau, atsižvelgiant į „rootkit“ sudėtingumą ir galimybę likti paslėptam, ateityje galime sulaukti daugiau atakų. Be to, iki šiol „ComicStrand“ tiksliniame sąraše yra tik konkrečios „Gigabyte“ ir „Asus“ pagrindinės plokštės, tačiau gali būti, kad rizikuoja ir kiti pagrindinių plokščių gamintojai.
Jei turite „Gigabyte“ arba „Asus“ pagrindinę plokštę su „Intel H81“ mikroschemų rinkiniu, būtina patikrinti, ar jūsų sistema neužkrėsta, ir jei aptinkate „rootkit“, imkitės veiksmų, kad jį pašalintumėte. Taip pat turėtumėte įdiegti patikimą saugos sprendimą, kuris ateityje apsaugotų sistemą nuo tokių grėsmių.
Nors ComicStrand rootkit nėra plačiai paplitusi grėsmė, labai svarbu tai žinoti ir imtis veiksmų, kad apsaugotumėte savo sistemą.