Rootkit UEFI infeta motherboards da Gigabyte e Asus
Um grupo de hackers sediado na China pode ter estado desde 2016 a instalar malware na UEFI de várias motherboards no mercado, mais conhecido como um rootkit. A descoberta foi feita pelos investigadores da empresa de segurança Kaspersky, tendo o rootkit sido apelidado de CosmicStrand.
Apesar de apenas agora ter sido conhecido, acredita-se que uma versão inicial do CosmicStrand tinha sido descoberta pela empresa de segurança Qihoo360, com o nome de “Spy Shadow Trojan”. Independentemente disso, o rootkit é uma das formas de infeção mais graves que podem ser verificadas, tendo em conta que é consideravelmente difícil de o remover do sistema e identificar.
Este género de malware instala-se diretamente na UEFI, que faz parte do software inicial que o sistema usa para arranque – ainda antes do sistema operativo ter carregado. Teoricamente, um malware que se encontra neste ponto do arranque pode ter um vasto acesso ao sistema, e não será diretamente identificado pela maioria do software de segurança – uma vez que carrega ainda antes do sistema operativo.
Além disso, não importa se o sistema é formatado ou até qual o sistema que se encontra instalado, uma vez que o malware permanece entre esse processo. O CosmicStrand mantém-se na linha de arranque do sistema, alterando os comandos enviados para o sistema operativo, e tendo como objetivo levar à instalação de malware no mesmo para espiar os utilizadores e roubar dados sensíveis.
Apesar de a variante agora descoberta ser mais recente, acredita-se que as primeiras versões deste malware tenham sido descobertas em 2017, com a campanha do mesmo a iniciar-se em 2016. Ou seja, durante este período, o mesmo esteve a evoluir e a propagar-se para diferentes sistemas.
Os investigadores não conseguiram identificar a origem exata do mesmo. O malware foi descoberto apenas em motherboards da Gigabyte e Asus até ao momento, mas não se sabe como estes sistemas foram infetados.
Do que se sabe será que o foco parecem ser placas antigas, possivelmente com firmware modificado indevidamente – as placas descobertas com o rootkit tinham sido lançadas entre 2013 e 2015.
Acredita-se que o malware tenha sido propagado por um grupo de hackers sediado na China, embora a origem exata não possa ser clarificada.