Kaspersky Lab araştırmacıları, CosmicStrand adlı yeni bir UEFI üretici yazılımı rootkit’i keşfetti.
Uzmanlara göre, kötü amaçlı yazılım, işletim sistemini yeniden başlattıktan veya Windows’u yeniden yükledikten sonra bile kurbanın bilgisayarında kalıyor. Bu özellik, tespit edilmesini zorlaştırır.
Bir rootkit’in, virüslü bir sistemde gizlice çalışan ve güvenlik sistemlerinin bunları algılamasını zorlaştıran özel araçlara sahip bir kötü amaçlı program sınıfı olduğunu hatırlayın.
Uzmanlar, CosmicStrand’ın yaratılmasını daha önce bilinmeyen bir Çince konuşan APT grubuna bağlıyor. Saldırganların ne amaçla takip ettikleri henüz netlik kazanmasa da Çin, Vietnam, İran ve Rusya’daki özel kullanıcıların mağdur olduğu kaydedildi.
CosmicStrand tarafından saldırıya uğrayan tüm cihazlar Windows tabanlıydı: Windows başladıktan sonra her yeniden başlatma sırasında, işletim sistemi düzeyinde küçük bir kötü amaçlı kod parçası zaten başlatıldı. Bu yükleyici, C&C sunucusuna bağlandı ve oradan aşağıdaki yürütülebilir dosyaları aldı.
Kaspersky Lab’in önde gelen siber güvenlik uzmanlarından Denis Legezo şunları söyledi: