Специалисты «Лаборатории Касперского» обнаружили новый руткит прошивки UEFI, который получил название CosmicStrand. Отмечается, что вредоносное ПО остаётся на компьютере жертвы даже после переустановки Windows. Эта особенность усложняет обнаружение зловреда.
Вероятно, за созданием CosmicStrand стоит ранее неизвестная китайскоязычная APT-группа. Пока неясно, какую цель преследуют злоумышленники, но отмечается что их жертвами становились частные пользователи в Китае, Вьетнаме, Иране и России.
Все устройства, атакуемые CosmicStrand, были на базе Windows. Каждый раз, во время перезагрузки, после запуска Windows уже на уровне ОС запускался небольшой фрагмент вредоносного кода. Этот загрузчик подключался к специальному серверу и получал оттуда необходимые исполняемые файлы.
«Прошивка UEFI — важная составляющая современного ПК. Её код отвечает за начальную загрузку устройства и запуск операционной системы. Если в UEFI есть вредоносный код, то он активируется ещё до запуска операционной системы. Из-за этого активность вредоноса становится невидимой для многих защитных решений, работающих на уровне ядра ОС», — пояснил ведущий эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо.