Rootkit on üks ohtlikumaid pahavara liike, mis võivad teie arvutit nakatada. 2022. aasta juulis avastas Kaspersky juurkomplekti, mis on suunatud spetsiaalselt Intel H81 kiibistikuga Gigabyte'i ja Asuse emaplaatide UEFI püsivarale. See juurkomplekt, nimega CosmicStrand, võib teie arvutit tõsiselt ohustada, kuna selle arendajad on Advanced Persistent Threats (ATP) osalejad.
Need on kurikuulsad arvutitele ja võrkudele juurdepääsu ja nende juhtimise jaoks surmavate ohtude tekitamise poolest. Üllataval kombel on CosmicStrandi rünnakud äriorganisatsioonide asemel juhtunud kohalike Hiina, Venemaa, Vietnami ja Iraani kodanikega.
Mis on CosmicStrand ja mida see teeb?
CosmicStrand on a juurkomplekt, mis annab ründajatele täieliku kontrolli teie arvuti üle ilma et sa midagi teaksid. Pärast vargsi paigaldamist jääb see traditsiooniliste turvameetmete poolt avastamata Teie Windowsi seadme UEFI püsivara.
Peale selle on CosmicStrand juurkomplektil võimalus jääda ohvri seadmesse peidetuks ka pärast Windowsi operatsioonisüsteemi uuesti installimist või parandamist. See võime muudab selle väga ohtlikuks ja millekski, mida te ei saa kergelt võtta.
See juurkomplekt võimaldab ründajal teie arvutis teha kõike, mida ta soovib, sealhulgas varastada tundlikku teavet, installida muud pahavara ja isegi kogu süsteemi üle võtta.
Kuidas CosmicStrand arvutitesse installitakse?
Teadlase sõnul kl Kaspersky, suutsid häkkerid CSMCORE DXE draiveris muudatusi tehes installida CosmicStrandi ohvri püsivarasse. See muudatus sunnib draiverit käivitama süsteemi käivitamisel koodiseeria, mis käivitab CosmicStrand komponendi allalaadimise ja installimise.
Nakatunud püsivara kujutisi uurides avastasid teadlased, et ründajad tegid CSMCORE-s muudatusi. DXE draiver, hankides eelneva juurdepääsu ohvri arvutile ja kirjutades üle püsivara, et kasutusele võtta automatiseeritud plaaster. See automaatne plaaster vastutab CSMCORE DXE draiveri sisenemispunkti ümbersuunamise eest käivitatava faili RELOC-faili salvestatud pahatahtlikule koodile.
Kuidas saate kaitsta oma süsteemi CosmicStrandi ja muude juurkomplektide eest?
Parim viis oma süsteemi CosmicStrandi ja teiste juurkomplektide eest kaitsta on paigaldada tugev turvalahendus, mis suudab selliseid ohte tuvastada ja eemaldada.
Samuti peaksite hoidma oma operatsioonisüsteemi ja kogu tarkvara uusimate turvapaikadega ajakohasena. See aitab sulgeda kõik lüngad, mida ründajad saavad teie süsteemi sisenemiseks kasutada. Sa peaksid viige läbi püsivara värskendused ja kõik muud olulised värskendused ametlikest usaldusväärsetest allikatest.
Samuti on oluline teha regulaarselt oma andmetest varukoopiaid, et saaksite oma süsteemi taastada juhuks, kui see peaks nakatuma juurkomplekti või mõne muu pahavaraga.
Peale selle oleks kõige parem, kui kasutaksite ka põhilisi turvameetmeid, nagu näiteks mitte klõpsamine tundmatutel linkidel või manuseid, mitte alla laadima piraattarkvara või sisu ebausaldusväärsetelt veebisaitidelt ega jagama oma isikuandmeid ükskõik kellega. See aitab teid kaitsta end sotsiaalse manipuleerimise rünnakute eest.
Kas peaksite ComicStrandi pärast muretsema?
2022. aasta augusti seisuga on ComicStrand juurkomplekti rünnakuid väga vähe. Arvestades juurkomplekti keerukust ja selle võimet peidus jääda, võime aga tulevikus näha rohkem rünnakuid. Samuti on seni ComicStrandi sihtnimekirjas ainult konkreetsed emaplaadid Gigabyte'ilt ja Asuselt, kuid võimalik, et ohus on ka teised emaplaaditootjad.
Kui teil on Intel H81 kiibistikuga Gigabyte'i või Asuse emaplaat, on oluline kontrollida, kas teie süsteem on nakatunud, ja kui avastate juurkomplekti, astuge samme selle eemaldamiseks. Samuti peaksite installima usaldusväärse turvalahenduse, et kaitsta oma süsteemi tulevikus selliste ohtude eest.
Kuigi ComicStrand juurkomplekt ei ole laialt levinud oht, on ülioluline olla sellest teadlik ja astuda samme oma süsteemi kaitsmiseks.