Das russische Sicherheitsunternehmen hat Schadsoftware in der Firmware von Asus- und Gigabyte-Mainboards gefunden.
Wie sich der Webseite Bleepingcomputer entnehmen lässt, setzen chinesische Hacker mindestens seit dem Jahr 2016 auf ein UEFI-Rootkit, das sich praktisch unbemerkt in den Firmware-Images einiger Mainboards versteckt. Die von Kaspersky auf den Namen CosmicStrand getaufte Malware wurde jetzt sowohl bei Hauptplatinen des Herstellers Asus als auch in der Firmware von Gigabyte-Mainboards gefunden.
Der Vorteil bei der Verwendung eines UEFI-Rootkit besteht darin, dass der UEFI-Code bereits während des Bootvorgangs des Systems ausgeführt wird. Somit kommen mögliche Sicherheitsmechanismen des Betriebssystems erst gar nicht zum Tragen, da dieses noch nicht geladen wurde. Außerdem erweist es sich als äußerst schwierig, betroffene Computer zu identifizieren. Keine Abhilfe schafft an dieser Stelle natürlich auch die Neuinstallation des Betriebssystems oder der Austausch des Speicherlaufwerks.
Das Sicherheitsunternehmen Kaspersky hat zudem weitere technische Details über CosmicStrand veröffentlicht. Die Forscher stellten fest, dass die Malware den Loader des Betriebssystems anpasst und die gesamte Kontrolle übernimmt. Anschließend wird mithilfe eines Command-and-Control-Servers weitere Schadsoftware nachgeladen. Laut Aussagen von Mark Lechtik wurden die kompromittierten Firmware-Images mit einem modifizierten CSMCORE-DXE-Treiber ausgeliefert, der einen Legacy-Boot-Prozess ermöglicht. "Dieser Treiber wurde so modifiziert, dass er die Boot-Sequenz abfängt und ihr eine bösartige Logik hinzufügt."
Mainboards mit H81-Chipsatz betroffen
Kaspersky gab bekannt, dass sich das CosmicStrand UEFI-Rootkit in Firmware-Images von Gigabyte- oder Asus-Motherboards befand, die einen H81-Chipsatz besitzen. Dabei handelt es sich um Hardware aus den Jahren 2013 bis 2015, die bereits größtenteils abgekündigt ist. Um die Schadsoftware auf den betroffenen Boards zu installieren, bedarf es entweder eines physischen Zugriffs oder es muss sich bereits eine Vorläuferversion der Malware auf dem System befinden. Dadurch ist es möglich, das kompromittierte Firmware-Image automatisch zu patchen.
Dem russischen Sicherheitsunternehmen ist es nicht gelungen, auf Grundlage der analysierten Computer der Opfer konkrete Rückschlüsse auf den Bedrohungsakteur zu ziehen. Die Systeme stammten von Privatpersonen aus China, Iran, Vietnam und Russland. Gemeinsamkeiten gab es keine. Lediglich aufgrund von Codemustern lässt sich eine Verbindung zum MyKings-Cryptomining-Botnet vermuten. Hier fanden Malware-Analysten des Herstellers Sophos Artefakte, die auf chinesische Hacker schließen lassen.
CosmicStrand UEFI-Rootkit: Kaspersky findet Malware bei Asus und Gigabyte - Golem.de - Golem.de
Read More
No comments:
Post a Comment