Rootkit firmware Windows yang dikenal sebagai “CosmicStrand” telah muncul di cakrawala ancaman siber, menargetkan Unified Extensible Firmware Interface (UEFI) untuk mencapai siluman dan ketekunan.
Firmware UEFI bertugas untuk mem-boot komputer Windows, termasuk memuat sistem operasi. Dengan demikian, jika firmware dinodai dengan kode berbahaya, kode itu akan diluncurkan sebelum OS melakukannya — membuatnya tidak terlihat oleh sebagian besar tindakan keamanan dan pertahanan tingkat OS.
Setelah dipicu, kode menyebarkan komponen berbahaya di dalam OS Windows, setelah rantai eksekusi yang panjang. Komponen ini terhubung ke server perintah-dan-kontrol (C2) dan menunggu instruksi untuk mengunduh potongan kode berbahaya tambahan, yang dipetakan oleh malware ke dalam ruang kernel dan dirakit menjadi sebuah shellcode.
Satu sampel shellcode yang diperoleh Kaspersky digunakan untuk membuat pengguna baru di mesin korban dan menambahkannya ke grup administrator lokal.
Seperti yang dikatakan oleh Departemen Keamanan Dalam Negeri AS (DHS) dan Departemen Perdagangan dalam laporan Maret tentang ancaman firmware, rootkit menghadirkan sejumlah besar risiko.
Kampanye khusus ini tampaknya sangat ditargetkan untuk individu tertentu di China, dengan beberapa kasus terlihat di Iran dan Vietnam, catat para peneliti. Tidak jelas apa akhir akhir dari Cosmic Strand, tetapi kemungkinan itu adalah permainan spionase; Kaspersky mengaitkan kampanye tersebut dengan ancaman persisten tingkat lanjut (APT) berbahasa China yang belum diketahui dengan tumpang tindih dengan geng botnet MyKings.
Para peneliti hanya tahu sedikit tentang bagaimana rootkit membuatnya ke mesin orang. Yang mengatakan, kelemahan rantai pasokan adalah suatu kemungkinan, menurut Kaspersky, dengan “akun yang belum dikonfirmasi ditemukan secara online yang menunjukkan bahwa beberapa pengguna telah menerima perangkat yang disusupi saat memesan komponen perangkat keras secara online.”
Modifikasi secara khusus diperkenalkan ke driver tertentu dengan menambalnya untuk mengarahkan ulang ke kode berbahaya yang dijalankan selama startup sistem.
Mereka menambahkan bahwa dalam serangan itu, implan tertanam di motherboard Gigabyte dan ASUS secara khusus, yang berbagi chipset H81. Ini menawarkan kemungkinan lain untuk kompromi awal.
Sangat menonjol, CosmicStrand tampaknya telah digunakan di alam liar sejak akhir 2016, jauh sebelum serangan UEFI diketahui.
Rootkit UEFI masih jarang terlihat di alam liar, berkat betapa kompleks dan sulitnya mereka untuk dikembangkan tetapi juga bukan mitos. Yang pertama secara resmi terlihat diamati oleh Qihoo 360 untuk digunakan oleh APT yang didukung China pada tahun 2017; Kaspersky percaya CosmicStrand terkait dengan ancaman itu, yang disebut Trojan Spy Shadow.
Kemudian, ESET menemukan satu pada tahun 2018 digunakan oleh aktor yang disponsori negara Rusia APT28 (alias Fancy Bear, Sednit, atau Sofacy). Itu dijuluki LoJax karena kode dasarnya, yang merupakan versi modifikasi dari perangkat lunak pemulihan LoJack Absolute Software untuk laptop.
Sejak itu, yang lain jarang terungkap, seperti MosaicRegressor dan MoonBounce, yang masing-masing ditemukan Kaspersky pada tahun 2020 dan 2022.
Peneliti Kaspersky memperingatkan bahwa jenis rootkit ini terus memberikan misteri dan menimbulkan pertanyaan, dan patut mendapat perhatian lebih dari komunitas analis.
FBI setuju. Laporan rancangan bersama yang dipimpin DHS tersebut mencatat bahwa firmware menghadirkan “permukaan serangan yang besar dan terus berkembang.” Mereka menambahkan bahwa keamanan firmware sering diabaikan, meskipun itu adalah salah satu metode paling tersembunyi di mana penyerang dapat membahayakan perangkat dalam skala besar.
Sumber: Dark Reading
