E’ stato scoperto un sofisticato malware in grado di insediarsi nei livelli più bassi dei computer. Ciò è possibile facendo diretto uso del firmware della scheda madre, e sta mietendo vittime dal 2020. Il rootkit, soprannominato CosmicStrand dai ricercatori di Kaspersky Lab, è invisibile e altamente persistente poiché il suo codice è insidiato in profondità nel firmware UEFI, e di conseguenza è al di fuori dell’ambito di rilevamento della maggior parte dei programmi di sicurezza.
In realtà, CosmicStrand non è del tutto nuovo. Il rootkit è già apparso precedentemente nel 2016, ed è stato individuato fino al 2017, quando è stato effettivamente documentato dai ricercatori della società cinese di sicurezza informatica Qihoo360 per la prima volta. Sembrava poi essere scomparso dal radar fino a poco tempo fa, quando i ricercatori di Kaspersky Lab lo hanno nuovamente rilevato nuove varianti e vittime in Cina, Vietnam, Iran e Russia.
In un rapporto pubblicato dai ricercatori:
“Sulla base della nostra analisi dell’infrastruttura utilizzata per le due varianti, stimiamo che quella più vecchia sia stata utilizzata tra la fine del 2016 e la metà del 2017 e quella attuale fosse attiva nel 2020”,
Entrambe le varianti sono state trovate nelle immagini del firmware delle schede madri Gigabyte e ASUS, in particolare quelle basate sul chipset Intel H81, suggerendo che esiste una vulnerabilità potenzialmente sfruttabile nelle build UEFI utilizzate da quelle schede madri. Tuttavia, i ricercatori non sono stati in grado di scoprire effettivamente come sia avvenuto.
Se è confermata l’esistenza di una vulnerabilità, è probabile che il suo sfruttamento richieda l’accesso locale al computer. L’iniezione del malware nel firmware potrebbe avvenire ad esempio tramite un altro programma malware in esecuzione all’interno del sistema operativo che sovrascriverebbe o aggiornerebbe UEFI. La presenza di una vulnerabilità di questot tipo nel firmware non sarebbe del tutto inaspettata: considerando infatti l’età delle schede madri interessate (il chipset H81 è stato lanciato alla fine del 2013 e supporta CPU Intel di quarta generazione Haswell), nel corso degli anni sono state scoperte molte vulnerabilità nelle implementazioni UEFI di diversi fornitori. Un’altra possibilità per implementare il rootkit CosmicStrand, menzionato da Qihoo360 nel 2017, è invece molto curiosa: essa vedrebbe la modifica (fisica) di prodotti da qualche parte nella catena di approvvigionamento, sia in fabbrica che successivamente presso un distributore o venditore.
CosmicStrand merita tutta qusta attenzione per via della sua nautra. Facendo parte del firmware UEFI, infatti, esso sopravvive ai riavvii del sistema operativo e persino alle reinstallazioni o sostituzioni del disco di avvio. Lo scopo del rootkit è quello di iniettare codice dannoso nel kernel di Windows durante il processo di avvio del sistema operativo. Lo scopo è quindi quello di rimanere in ascolto e ricevere diversi payload da un server C&C (Command & Control). Il payload è formato da pacchetti contenenti 528 byte di dati, che vengono poi sistemati e innestati nel kernel per poi essere eseguiti.
Il rootkit però non entra in azione immediatamente. Una volta stabilita l’esecuzione nel kernel di Windows, il codice CosmicStrand attende 10 minuti per consentire l’avvio di altri componenti di Windows, quindi verifica la connettività Internet del computer. La comunicazione internet non avviene sfruttando le API di Windows ma lo fa sfruttando dei propri driver e quindi parlando direttamente con l’interfaccia di rete. Questo gli permette di non essere monitorato dai prodotti di sicurezza che esaminano il trasferimento dati.
“L’aspetto più sorprendente di questo malware è che questo rootkit UEFI sembra essere stato utilizzato in natura dalla fine del 2016, molto prima che gli attacchi UEFI iniziassero a essere descritti pubblicamente”, hanno affermato i ricercatori. “Questa scoperta pone un’ultima domanda: se questo è ciò che gli aggressori stavano usando allora, cosa stanno usando oggi? I molteplici rootkit scoperti finora evidenziano un punto cieco nel nostro settore che deve essere affrontato il prima possibile”.