Buzz
Nhóm Chuyên Gia An Ninh Tại Kaspersky Labs Vừa Tiết Lộ Thông Tin Về Một Firmware Rootkit Được Đặt Tên Là CosmicStrand, Tin Rằng Đây Là Dự Án Của Những Hacker Đến Từ Trung Quốc. Cụ Thể Hơn, Các Chuyên Gia Của Kaspersky Phát Hiện Rootkit Này Nằm Ẩn Mình Trong Hình Ảnh Firmware UEFI Của Chipset H81, Được Trang Bị Trong Những Mẫu Bo Mạch Chủ Phổ Biến Do Asus và Gigabyte Sản Xuất. H81 Thực Tế Cũng Là Chipset Tồn Tại Lâu Nhất Trong Thời Kỳ CPU Kiến Trúc Haswell Của Intel, Mãi Tới 2020 Mới Ngưng Sản Xuất.
Vì Firmware UEFI Là Những Dòng Code Đầu Tiên Khởi Chạy Khi Bật Máy Tính, Nên Những UEFI Rootkit Như CosmicStrand Rất Khó Gỡ Khỏi Máy Tính Nếu So Sánh Với Những Dạng Mã Độc Khác. Bản Thân UEFI Rootkit Cũng Khó Bị Phát Hiện Hơn, Từ Đó Tạo Ra Cánh Cổng Cho Phép Các Hacker Cài Đặt Tiếp Những Mã Độc Khác Vào Hệ Thống Mà Chúng Nhắm Tới.
Khi chipset đã bị nhiễm UEFI rootkit, việc cài đặt lại Windows hoặc thay đổi ổ cứng cũng vô ích, vì rootkit này đã được cài đặt vào một chip nhớ điện tĩnh hàn trên bo mạch chủ. Điều Đó Có Nghĩa Là, Để Loại Bỏ CosmicStrand Chỉ Có Một Cách Duy Nhất: Sử Dụng Công Cụ Đặc Biệt Để Flash Lại Dữ Liệu Trong Chip Nhớ Nói Trên, Trong Khi Máy Tính Đang Tắt Nguồn.
Theo Kaspersky, Chỉ Có 4 Quốc Gia Ghi Nhận Hệ Thống Máy Tính Chạy Hệ Điều Hành Windows Bị Nhiễm CosmicStrand: Nga, Trung Quốc, Iran Và Việt Nam. Tuy Nhiên Điều Đáng Quan Ngại Là Mã Độc Rootkit Nhắm Vào UEFI Đã Được Sử Dụng Kể Từ Cuối Năm 2016, Chứng Tỏ Khả Năng UEFI Rootkit Được Ứng Dụng Nhiều Hơn Và Hiệu Quả Hơn So Với Những Đánh Giá Ban Đầu. Cần Nhớ, ESET Hồi Năm 2018 Là Đơn Vị Đầu Tiên Phát Hiện Ra Sự Tồn Tại Của Dạng Mã Độc Này.
Kể Từ Đó, Những Kẻ Tấn Công Có Thể Cài Những 'Hook' Khác Dưới Dạng Tính Năng Của Nhân Windows, Gọi Là Subsequent Boot Process. Tính Năng Này Chạy Shellcode Trong Bộ Nhớ Máy Tính, Tự Động Liên Lạc Với Máy Chủ Điều Khiển Mã Độc Này Để Tải Và Cài Đặt Những Mã Độc Khác Vào Máy Tính Bị Nhiễm CosmicStrand.
Dù Chỉ Có Kích Thước Chưa Đầy 100 KB, Nhưng CosmicStrand Còn Có Khả Năng Tắt Chức Năng PatchGuard, Còn Được Biết Đến Là Bảo Vệ Microsoft Kernel Patch, Một Tính Năng An Ninh Cực Kỳ Quan Trọng Của Windows. Bản Thân Cách Viết Những Dòng Code Của CosmicStrand, Theo Kaspersky, Cũng Có Phần Tương Đồng Với Botnet MyKings, Thứ Âm Thầm Cài Phần Mềm Đào Tiền Mã Hóa Vào Máy Tính Bị Nhiễm Mã Độc.
Điều Các Chuyên Gia Kaspersky Lo Ngại Nhất Chính Là Việc CosmicStrand Phải 6 Năm Mới Bị Phát Hiện. Họ Cho Rằng “Những Rootkit Được Phát Hiện Này Là Bằng Chứng Của Một Điểm Mù Trong Ngành, Thứ Cần Được Giải Quyết Sớm Muộn.'
Theo Techspot
