0
0
Um rootkit de firmware do Windows conhecido como “CosmicStrand” apareceu no firmamento de ameaças cibernéticas, visando a Unified Extensible Firmware Interface (UEFI) para obter discrição e persistência.
O firmware UEFI é encarregado de inicializar computadores Windows, incluindo o carregamento do sistema operacional. Dessa forma, se o firmware estiver contaminado com código malicioso, esse código será iniciado antes do sistema operacional, tornando-o invisível para a maioria das medidas de segurança e defesas no nível do sistema operacional.
“Isso, juntamente com o fato de o firmware residir em um chip separado do disco rígido, torna os ataques contra o firmware UEFI excepcionalmente evasivos e persistentes”, explicaram pesquisadores da Kaspersky em uma postagem na segunda-feira. “Independentemente de quantas vezes o sistema operacional for reinstalado, o malware permanecerá no dispositivo.”
Uma vez acionado, o código implanta um componente malicioso dentro do sistema operacional Windows, após uma longa cadeia de execução. Esse componente se conecta a um servidor de comando e controle (C2) e aguarda instruções para baixar trechos de código maliciosos adicionais, que o malware mapeia no espaço do kernel e monta em um shellcode.
Uma amostra de shellcode obtida pela Kaspersky foi usada para criar um novo usuário na máquina da vítima e adicioná-lo ao grupo de administradores locais.
“Podemos inferir disso que os shellcodes recebidos do servidor C2 podem ser stagers para executáveis PE fornecidos pelo invasor, e é muito provável que existam muitos mais”, de acordo com o artigo.
Como o Departamento de Segurança Interna (DHS) e o Departamento de Comércio dos EUA disseram em um relatório de março sobre ameaças de firmware, os rootkits apresentam uma quantidade enorme de risco.
“Os invasores podem subverter a visibilidade do sistema operacional e do hipervisor e ignorar a maioria dos sistemas de segurança, ocultar e persistir em redes e dispositivos por longos períodos de tempo enquanto realizam operações de ataque e infligir danos irrevogáveis”, observaram as agências governamentais em um relatório preliminar conjunto (PDF) .
Essa campanha em particular parece altamente direcionada a indivíduos específicos na China, com alguns casos observados no Irã e no Vietnã, observaram os pesquisadores. Não está claro qual é o final do jogo para Cosmic Strand, mas provavelmente é uma jogada de espionagem; A Kaspersky atribuiu a campanha a uma ameaça persistente avançada (APT) de língua chinesa ainda desconhecida, com sobreposições com a gangue de botnet MyKings .
Cadeia de Suprimentos, Preocupações com ‘Evil Maid’
Os pesquisadores sabem muito pouco sobre como o rootkit está chegando às máquinas das pessoas. Dito isto, a fraqueza da cadeia de suprimentos é uma possibilidade, de acordo com a Kaspersky, com “contas não confirmadas descobertas on-line indicando que alguns usuários receberam dispositivos comprometidos ao solicitar componentes de hardware on-line”.
As modificações foram introduzidas especificamente em um driver específico, corrigindo-o para redirecionar para código malicioso executado durante a inicialização do sistema.
“Avaliamos que as modificações [no driver] podem ter sido realizadas com um patcher automatizado”, observaram os pesquisadores da Kaspersky. “Se assim for, seguir-se-ia que os atacantes tiveram acesso prévio ao computador da vítima para extrair, modificar e sobrescrever o firmware da placa-mãe. Isso poderia ser alcançado através de um implante de malware precursor já implantado no computador ou acesso físico (ou seja, um cenário de ataque de empregada malvada ).”
Eles acrescentaram que, nos ataques, o implante entrou especificamente nas placas-mãe Gigabyte e ASUS, que compartilham o chipset H81. Isso oferece outra possibilidade de compromisso inicial.
“Isso sugere que pode existir uma vulnerabilidade comum que permitiu que os invasores injetassem seu rootkit na imagem do firmware”, segundo o relatório.
Sobre 2016
Muito notavelmente, o CosmicStrand parece ter sido usado em estado selvagem desde o final de 2016, muito antes dos ataques UEFI serem conhecidos.
“Apesar de ter sido descoberto recentemente, o rootkit de firmware CosmicStrand UEFI parece estar sendo implantado há muito tempo”, diz Ivan Kwiatkowski, pesquisador sênior de segurança da Equipe de Pesquisa e Análise Global (GReAT) da Kaspersky. “Isso indica que alguns agentes de ameaças têm recursos muito avançados que conseguiram manter sob o radar desde 2017. Ficamos imaginando quais novas ferramentas eles criaram nesse meio tempo que ainda precisamos descobrir.”
Os rootkits UEFI ainda raramente são vistos na natureza, graças à complexidade e dificuldade de desenvolvimento – mas também não são míticos. O primeiro a ser visto oficialmente foi observado pelo Qihoo 360 para ser usado por um APT apoiado pela China em 2017; A Kaspersky acredita que o CosmicStrand esteja relacionado a essa ameaça, que foi chamada de Spy Shadow Trojan.
Então, a ESET descobriu um em 2018 sendo usado pelo ator patrocinado pelo estado russo APT28 (também conhecido como Fancy Bear, Sednit ou Sofacy). Foi apelidado de LoJax por causa de seu código subjacente, que era uma versão modificada do software de recuperação LoJack da Absolute Software para laptops.
Desde então, outros raramente vêm à tona, como MosaicRegressor e MoonBounce , que a Kaspersky encontrou em 2020 e 2022, respectivamente.
Os pesquisadores da Kaspersky alertaram que esses tipos de rootkits continuam a fornecer mistérios e levantar questões, e merecem mais atenção da comunidade de analistas.
“CosmicStrand é um sofisticado rootkit de firmware UEFI [que] parece ter sido usado em operação por vários anos, mas ainda há muitos mistérios”, observaram. “Quantos mais implantes e servidores C2 ainda podem estar nos iludindo? Que cargas úteis de último estágio estão sendo entregues às vítimas? Mas também, é realmente possível que o CosmicStrand tenha alcançado algumas de suas vítimas através do pacote ‘interdição’ ? , os múltiplos rootkits descobertos até agora evidenciam um ponto cego em nosso setor que precisa ser resolvido o quanto antes.”
Os federais concordam. A minuta de relatório conjunta liderada pelo DHS acima mencionado observou que o firmware apresentou “uma superfície de ataque grande e sempre em expansão”. Eles acrescentaram que a segurança do firmware é freqüentemente negligenciada, embora seja um dos métodos mais furtivos pelos quais um atacante pode comprometer os dispositivos em escala.
FONTE: DARK READING