Các chuyên gia bảo mật của Kaspersky Labs vừa công bố thông tin về một firmware rootkit tên là CosmicStrand, cho rằng đây là tác phẩm của những hacker đến từ Trung Quốc. Cụ thể hơn, các chuyên gia của Kaspersky rootkit này nằm im trong UEFI firmware image của chipset H81, trang bị trong những mẫu bo mạch chủ phổ biến do Asus và Gigabyte sản xuất. H81 thực tế cũng là chipset tồn tại lâu nhất của thời kỳ CPU kiến trúc Haswell của Intel, mãi tới 2020 mới ngưng sản xuất.
Vì firmware UEFI là những dòng code đầu tiên khởi chạy khi bật máy tính, nên những UEFI rootkit như CosmicStrand rất khó gỡ khỏi máy tính nếu so sánh với những dạng mã độc khác. Bản thân UEFI rootkit cũng khó bị phát hiện hơn, từ đó tạo ra cánh cổng cho phép các hacker cài đặt tiếp những mã độc khác vào hệ thống mà chúng nhắm tới.
Khi chipset đã nhiễm UEFI rootkit, cài lại Windows hoặc đổi ổ cứng cũng không giải quyết được gì, vì rootkit này được cài đặt vào một chip nhớ điện tĩnh hàn trên bo mạch chủ. Điều này có nghĩa là, nếu muốn gỡ CosmicStrand chỉ có một cách duy nhất: Sử dụng công cụ đặc biệt để flash lại dữ liệu trong chip nhớ nói trên, trong khi máy tính đang tắt nguồn.
Theo Kaspersky, chỉ có 4 quốc gia ghi nhận hệ thống máy tính chạy HĐH Windows bị nhiễm CosmicStrand: Nga, Trung Quốc, Iran và Việt Nam. Tuy nhiên điều đáng quan ngại là mã độc rootkit nhắm vào UEFI đã được sử dụng kể từ cuối năm 2016, chứng tỏ khả năng UEFI rootkit được ứng dụng nhiều hơn và hiệu quả hơn so với những đánh giá ban đầu. Cần nhớ, ESET hồi năm 2018 là đơn vị đầu tiên phát hiện ra sự tồn tại của dạng mã độc này.
Vì firmware UEFI là những dòng code đầu tiên khởi chạy khi bật máy tính, nên những UEFI rootkit như CosmicStrand rất khó gỡ khỏi máy tính nếu so sánh với những dạng mã độc khác. Bản thân UEFI rootkit cũng khó bị phát hiện hơn, từ đó tạo ra cánh cổng cho phép các hacker cài đặt tiếp những mã độc khác vào hệ thống mà chúng nhắm tới.
Khi chipset đã nhiễm UEFI rootkit, cài lại Windows hoặc đổi ổ cứng cũng không giải quyết được gì, vì rootkit này được cài đặt vào một chip nhớ điện tĩnh hàn trên bo mạch chủ. Điều này có nghĩa là, nếu muốn gỡ CosmicStrand chỉ có một cách duy nhất: Sử dụng công cụ đặc biệt để flash lại dữ liệu trong chip nhớ nói trên, trong khi máy tính đang tắt nguồn.
Theo Kaspersky, chỉ có 4 quốc gia ghi nhận hệ thống máy tính chạy HĐH Windows bị nhiễm CosmicStrand: Nga, Trung Quốc, Iran và Việt Nam. Tuy nhiên điều đáng quan ngại là mã độc rootkit nhắm vào UEFI đã được sử dụng kể từ cuối năm 2016, chứng tỏ khả năng UEFI rootkit được ứng dụng nhiều hơn và hiệu quả hơn so với những đánh giá ban đầu. Cần nhớ, ESET hồi năm 2018 là đơn vị đầu tiên phát hiện ra sự tồn tại của dạng mã độc này.
Hồi năm 2017, đơn vị bảo mật Qihoo460 phát hiện ra một phiên bản sơ khai của CosmicStrand. Những năm gần đây các chuyên gia bảo mật trên toàn thế giới bắt đầu phát hiện ra nhiều phiên bản khác như MosaicRegressor, FinSpy, ESpecter và MoonBounce.
Quay trở lại với CosmicStrand, đây là một mã độc tương đối đáng sợ, dù dung lượng chỉ có chưa đầy 100 kB. Cách nó tìm được đường đến với chip UEFI trong bo mạch chủ người dùng như thế nào chưa rõ, nhưng cách vận hành của nó đã được mô tả khá kỹ. Đầu tiên mã độc này tấn công vào quá trình boot bằng cách nhúng những “sets-up hook” vào quy trình khởi động máy, qua đó thêm những tính năng hacker mong muốn để thay đổi Windows kernel loader, trước cả khi quy trình này diễn ra.
Từ đó, những kẻ tấn công có thể cài những ‘hook’ khác dưới dạng tính năng của Windows kernel, gọi là subsequent boot process. Tính năng này chạy shellcode trong bộ nhớ máy tính, tự động liên lạc với máy chủ điều khiển mã độc này để tải và cài đặt những mã độc khác vào máy tính nhiễm CosmicStrand.
Dù chỉ chưa đầu 100 kB nhưng CosmicStrand còn có khả năng vô hiệu hóa PatchGuard, hay còn gọi là Microsoft Kernel Patch Protection, một tính năng bảo mật cực kỳ quan trọng của Windows. Bản thân cách viết những dòng code của CosmicStrand, theo Kaspersky, cũng có phần tương đồng với botnet MyKings, thứ âm thầm cài phần mềm đào tiền mã hóa vào máy tính bị nhiễm mã độc.
Điều các chuyên gia Kaspersky lo ngại nhất chính là việc CosmicStrand phải 6 năm mới bị phát hiện. Họ cho rằng “những rootkit được phát hiện này là bằng chứng của một điểm mù trong ngành, thứ cần được giải quyết sớm muộn."
Theo Techspot
