Вредоносное ПО, способное выжить после переустановки ОС, обнаружено на материнских платах Asus и Gigabyte

По словам антивирусного поставщика Kaspersky, вредоносное ПО было обнаружено для старых материнских плат H81 и, по-видимому, существует как минимум с 2016 года.

По словам антивирусного поставщика Kaspersky, штамм вредоносного ПО, способный выжить после переустановки ОС, тайно проникает в старые материнские платы от Asus и Gigabyte.

Вредоносное ПО, получившее название CosmicStrand, предназначено для заражения UEFI (унифицированного расширяемого интерфейса прошивки) материнской платы, чтобы оно могло сохраняться на компьютере с Windows, даже если накопитель удален.

В понедельник «Лаборатория Касперского» заявила, что обнаружила вирус CosmicStrand, циркулирующий на компьютерах с Windows в Китае, Вьетнаме, Иране и России. Все жертвы использовали бесплатное антивирусное программное обеспечение Касперского, поэтому, скорее всего, это были частные лица.

Расследование компании обнаружил, что CosmicStrand находится на образах прошивок для старых материнских плат Asus и Gigabyte, которые использовали H81 чипсет, который первоначально был запущен в 2013 году, но с тех пор снят с производства.

Заражая UEFI материнской платы, CosmicStrand может запускать вредоносные процессы прямо при загрузке ПК. Это может привести к тому, что машина получит вредоносный компонент с сервера, контролируемого хакерами, и установит его в ОС Windows.

«К сожалению, нам не удалось получить копию данных, поступающих с сервера C2 (управления и контроля)», — сказал Касперский. Но компания нашла доказательства того, что создатели CosmicStrand пытались удаленно захватить зараженные машины.

Касперский также не знает, как CosmicStrand попадает на компьютеры жертв. Но, возможно, он появился из-за другой вредоносной программы, уже установленной в системе, или из-за того, что хакеры получили физический доступ к оборудованию.

«Глядя на различные образы прошивки, которые мы смогли получить, мы пришли к выводу, что модификации могли быть выполнены с помощью автоматического патчера. Если это так, то это означает, что злоумышленники имели предварительный доступ к компьютеру жертвы, чтобы извлечь, изменить и перезаписать прошивку материнской платы», — добавил Касперский.

CosmicStrand — не первая вредоносная программа на основе UEFI; за прошедшие годы антивирусная индустрия обнаружила несколько других штаммов. Однако CosmicStrand, похоже, несколько лет скрывался от радаров. Расследование «Лаборатории Касперского» показало, что один образец вредоносного ПО связывался с контролируемым хакерами сервером, который впервые появился в декабре 2016 года. Другой образец был обнаружен с отдельным контролируемым хакерами сервером в 2020 году.

Кроме того, Касперский указал, что китайский производитель антивирусов Qihoo 360 также обнаружил ранний вариант CosmicStrand еще в 2017 году, затрагивающий материнскую плату Asus B85M.

«Первоначальный отчет Qihoo указывает на то, что покупатель мог получить материнскую плату с бэкдором после размещения заказа у перекупщика. Мы не смогли подтвердить эту информацию», — добавил Касперский.

В настоящее время компания подозревает, что CosmicStrand создали китайские хакеры, ссылаясь на то, что его компьютерный код совпадает с другим вредоносным ПО, связанным с хакерами, говорящими на китайском языке.

«Продукты Kaspersky обнаружат эту угрозу и предотвратят ее правильное выполнение, что сделает ее безвредной, но я не уверен, что мы сможем провести дезинфекцию прошивки, так как существует риск повреждения машины пользователя», — сказал PCMag аналитик компании по вредоносным программам Иван Квятковски…

«Единственный способ удалить инфекцию навсегда — это перепрошить микропрограмму материнской платы, деликатную операцию, которую можно выполнить через BIOS (только для опытных пользователей) или с помощью утилит, предоставляемых поставщиком оборудования», — добавил он. «Альтернативный (хардкорный) способ удаления этой инфекции — заменить материнскую плату компьютера, а затем переустановить Windows».