CosmicStrand: Yeni gelişmiş firmware rootkiti son derece inatçı

Kaspersky araştırmacıları, işletim sistemi tekrardan başlatılsa veya Windows tekrardan yüklense bile kurbanın makinesinde kalan ayrıca onu uzun vadede çok tehlikeli hale getiren gelişmiş bir kalıcı tehdit (APT) aktörü tarafınca geliştirilen yeni bir rootkiti ortaya çıkardı. “CosmicStrand” olarak adlandırılan bu UEFI firmware rootkit, Vietnam, İran ayrıca Rusya’da nadir görülen vakalarla, büyük ölçüde Çin’deki özel kişilere saldırmak için kullanıldı.

UEFI firmware, donanımların büyük çoğunluğunda kritik bir bileşendir. İçeriğindeki kod cihazı başlatmaktan, işletim sistemini yükleyen yazılım bileşenini çalıştırmaktan sorumludur. UEFI firmware bir şekilde kötü amaçlı kod içerecek şekilde değiştirilirse, bu kod işletim sisteminden önce başlatılacak ayrıca etkinliğini potansiyel olarak güvenlik çözümleri ayrıca işletim sisteminin savunması tarafınca görünmez hale getirecektir. Bunun sabit diskten ayrı bir yonga üzerinde bulunması, UEFI bellenimine yönelik saldırıları kaçamak ayrıca kalıcı hale getirir. Çünkü işletim sistemi kaç kez tekrardan yüklenirse yüklensin, kötü amaçlı yazılım cihazda kalır.

Kaspersky araştırmacıları tarafınca yapılan son UEFI firmware keşfi olan CosmicStrand, daha önce bilinmeyen bir Çince konuşan aktöre atfediliyor. Saldırganların nihai hedefleri bilinmemekle birlikte, etkilenen kurbanların kurumsal bilgisayarların aksine bireysel kullanıcılar olduğu gözlemlendi.

Saldırıya uğrayan tüm makineler Windows tabanlıydı. Bilgisayar her açıldığında, Windows başlatıldıktan sonra bir miktar kötü amaçlı kod yürütüldü. Amacı bir C2 (komut ayrıca kontrol) sunucusuna bağlanmak ayrıca ek bir kötü amaçlı yürütülebilir dosya indirmekti.

Araştırmacılar, ilk etapta rootkitin virüslü makinelere nasıl bulaştığını belirleyemediler. Ancak çevrimiçi olarak keşfedilen doğrulanmamış hesaplar, bazı kullanıcıların çevrimiçi donanım bileşenleri sipariş ederken güvenliği ihlal edilmiş cihazlar aldığını gösteriyor.

CosmicStrand’in en çarpıcı yönü, UEFI implantının 2016’nın sonundan beri (UEFI saldırılarının kamuoyuna açıklanmaya başlamasından çok önce) açık ortamda kullanıldığı görülüyor.

Kaspersky Küresel Araştırma ayrıca Analiz Ekibi (GReAT) Kıdemli Güvenlik Araştırmacısı Ivan Kwiatkowski, şunları söylüyor: “Yakın vakit önce keşfedilmesine rağmen CosmicStrand UEFI firmware rootkit oldukça uzun bir süredir kullanılıyor gibi görünüyor. Bu, bazı tehdit aktörlerinin 2017’den beri gözlerden uzak tutmayı başardıkları çok gelişmiş yeteneklere sahip olduğunu gösteriyor. Dahası henüz keşfetmediğimiz hangi yeni araçları yarattıklarını da merak ediyoruz.”

CosmicStrand çerçevesinin ayrıca bileşenlerinin daha ayrıntılı bir analizi Securelist’te yer alıyor.

Kaspersky, CosmicStrand gibi tehditlerden korunmak için şunları öneriyor:

• SOC ekibinize en son tehdit istihbaratına (TI) erişimini sağlayın. Kaspersky Tehdit İstihbarat Portalı, TI için 20 yılı aşkın süredir Kaspersky tarafınca toplanan siber saldırı verileri ayrıca öngörüleri sağlayan tek bir erişim noktasıdır.
• Kaspersky Endpoint Detection and Response gibi uç nokta düzeyinde olay algılama, araştırma ayrıca hızla düzeltme için EDR çözümlerini kullanın.
• Hedefli saldırıların çoğu kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığı için personelinize temel siber güvenlik hijyeni eğitimi sağlayın.
• Kaspersky Endpoint Security for Business gibi firmware ihlalini algılayabilen sağlam bir uç nokta güvenlik ürünü kullanın.
• UEFI sabit yazılımınızı düzenli olarak güncelleyin ayrıca yalnızca güvenilir satıcıların ürün yazılımını kullanın.