I ricercatori di Kaspersky hanno individuato un nuovo rootkit per firmware UEFI, chiamato CosmicStrand, la cui creazione viene attribuita a un gruppo cinese. Scoperto per la prima volta dall’azienda Qihoo360 nel 2017, CosmicStrand infetta i firmware delle schede madri a marchio Gigabyte o ASUS equipaggiate con chipset H81, le quali potrebbero presentare una vulnerabilità comune che consentirebbe a eventuali malintenzionati di iniettare il rootkit nell’immagine del firmware.

Nell’analisi pubblicata dai ricercatori si legge:

In queste immagini del firmware sono state introdotte modifiche nel driver CSMCORE DXE, il cui punto di ingresso è stato modificato per reindirizzare al codice aggiunto nella sezione .reloc. Questo codice, eseguito durante l’avvio del sistema, innesca una lunga catena di esecuzione che porta al download e alla distribuzione di un componente dannoso all’interno di Windows.

Esaminando le varie immagini del firmware che siamo riusciti a ottenere, riteniamo che le modifiche possano essere state eseguite con un patcher automatico. Se così fosse, ne consegue che gli aggressori hanno avuto accesso preventivo al computer della vittima per estrarre, modificare e sovrascrivere il firmware della scheda madre.

A quanto pare, CosmicStrand recupera il payload finale inviando un pacchetto UDP o TCP appositamente creato al server C2 (update.bokts[.]com), che a sua volta risponde con uno o più pacchetti contenenti chunk di 528 byte con una struttura specifica, i quali vengono poi riassemblati in una serie di byte che vengono mappati nello spazio del kernel e interpretati come shellcode. Questo rootkit ha colpito cittadini privati situati in Cina, Vietnam, Iran e Russia, privi di legami con organizzazioni o industrie verticali.

Gli analisti hanno aggiunto:

CosmicStrand è un sofisticato rootkit del firmware UEFI che consente ai suoi proprietari di ottenere una persistenza molto duratura – l’intera vita del computer – e allo stesso tempo di essere estremamente furtivo. Sembra che sia stato utilizzato per diversi anni, eppure rimangono molti misteri.

Quanti altri impianti e server C2 potrebbero ancora sfuggirci? Quali last-stage payload vengono consegnati alle vittime? È possibile che CosmicStrand abbia raggiunto alcune delle sue vittime attraverso l'”interdizione” dei pacchetti? In ogni caso, i molteplici rootkit scoperti finora evidenziano un punto cieco nel nostro settore che deve essere affrontato al più presto.