В прошивках UEFI материнских плат Gigabyte и Asus H81 обнаружено вредоносное ПО
playground.ruИсследователи из компании по кибербезопасности Kaspersky обнаружили новую форму вредоносного ПО, которое находится в UEFI материнской платы. Вредоносное ПО представляет собой разновидность руткита, который остается на месте даже после очистки или замены жесткого диска хоста или твердотельного накопителя.
Инженеры «Лаборатории Касперского» назвали его CosmicStrand. Сообщается, что это эволюция более ранней вредоносной программы под названием Spy Shadow Trojan, которая была обнаружена еще в 2016 году. Исследователи обнаружили вредоносную программу CosmicStrand в прошивках материнских плат Asus и Gigabyte. Однако, паниковать не стоит.
Зараженные системы работали на материнских платах на базе чипсета H81, которому уже много лет. Злоумышленнику также потребуется доступ к системе или установка другого вредоносного ПО для обновления или исправления прошивки для внедрения вредоносного ПО CosmicStrand. Поэтому, если вы читаете это, не думайте, что системы Asus или Gigabyte были небезопасными все эти годы или что ваша система скомпрометирована. Пока не будут проведены дальнейшие исследования, может случиться так, что CosmicStrand сможет воспользоваться только возможной уязвимостью H81 UEFI.
Вредоносное ПО устанавливает ряд перехватчиков, которые позволяют получить доступ к ядру Windows, что в конечном итоге приводит к тому, что зараженная ОС получает нагрузку, которая будет выполняться на компьютере жертвы. Инженеры «Лаборатории Касперского» не смогли получить саму нагрузку, но они считают, что вредоносное ПО имеет общие шаблоны кода с китайской группой, ответственной за ботнет для майнинга криптовалюты MyKings.
UEFI, или Unified Extensible Firmware Interface, почти как мини-ОС. Это интерфейс между аппаратным и программным
