Los investigadores han descubierto malware que ha estado infectando en secreto sistemas con placas base Asus y Gigabyte durante al menos seis años.
Desde 2016, los hackers de habla china se han estado infiltrando en las máquinas con el malware CosmicStrand, según un informe de Bleeping Computer.
En particular, una vez que se ha distribuido el código malicioso, permanece en gran medida sin ser detectado dentro de las imágenes de firmware para ciertas placas base. Este método particular de orientación de imágenes de firmware se clasifica como un rootkit de interfaz de firmware extensible unificada (UEFI).
La cepa fue nombrada CosmicStrand por investigadores que trabajan para la firma de ciberseguridad Kaspersky. Sin embargo, una versión anterior del malware, denominada Spy Shadow Trojan, fue descubierta inicialmente por analistas de Qihoo360.
Como referencia, UEFI es una aplicación importante que conecta un sistema operativo con el firmware del propio hardware. Como tal, el código UEFI es lo que se ejecuta cuando una computadora se inicia inicialmente, incluso antes de cualquier medida de seguridad del sistema.
Como resultado, el malware que se ha colocado en la imagen del firmware UEFI es extremadamente efectivo para evadir las medidas de detección. Sin embargo, lo más preocupante es el hecho de que el malware no se puede eliminar técnicamente operando una reinstalación limpia del sistema operativo. Ni siquiera puede deshacerse de él reemplazando la unidad de almacenamiento.
«Este controlador fue modificado para interceptar la secuencia de arranque e introducirle lógica maliciosa», dijo Mark Lechtik, quien anteriormente trabajó como ingeniero inverso de Kaspersky.
Kaspersky dijo que encontró que el rootkit CosmicStrand UEFI fue descubierto dentro de las imágenes de firmware de las placas base Gigabyte o Asus que utilizan el chipset H81, que está asociado con el hardware vendido entre 2013 y 2015.
Las víctimas de CosmicStrand eran individuos privados ubicados dentro de China, Irán, Vietnam y Rusia, y por lo tanto no se podían establecer vínculos con un estado nación, organización o industria. Dicho esto, los investigadores confirmaron un enlace de CosmicStrand a un actor de amenazas de habla china debido a patrones de código que aparecieron en una botnet de criptominería separada.
Kaspersky enfatizó que el rootkit de firmware DE COSMICStrand UEFI puede permanecer más o menos en un sistema infectado para siempre.
El malware UEFI fue reportado por primera vez en 2018 por otra compañía de seguridad en línea, ESET. Conocido como LoJax, fue utilizado por hackers rusos que pertenecían al grupo APT28. Desde entonces, la cantidad de rootkits basados en UEFI que infectan los sistemas ha aumentado constantemente, lo que incluye ESPecter, un kit que se dice que se ha implementado con fines de espionaje desde 2012.
En otros lugares, los analistas de seguridad dijeron que detectó «el firmware UEFI más avanzado» a principios de este año en forma de MoonBounce.
