MWC 2018
2018
Computex
IFA 2018
Специалисты «Лаборатории Касперского» изучили новую версию руткита CosmicStrand, которая обнаружилась в UEFI материнских плат от Gigabyte и ASUS на чипсете H81. Вредонос был выявлен на компьютерах пользователей в Китае, Вьетнаме, Иране и России.
Источник изображения: methodshop / pixabay.com
Платформа UEFI содержится в чипе на материнской плате, и никакие операции с подключаемыми накопителями на неё не влияют, напомнили в «Лаборатории Касперского». Это значит, что содержащееся в UEFI вредоносное ПО не так просто обнаружить антивирусом, а избавиться от него не помогает даже переустановка операционной системы. По той же причине заразить данную область тоже непросто — обычно к этому методу прибегают для атаки на системы, принадлежащие высокопоставленным лицам, а не широкому кругу рядовых пользователей.
Первые версии руткита CosmicStrand были обнаружены в 2016 году — тогда специалисты китайской компании Qihoo 360 предположили, что одна из жертв приобрела модифицированную материнскую плату у реселлера. Точных сведений о происхождении обновлённой версии вредоноса нет и сейчас. Тем не менее, расследование показало, что сегодня CosmicStrand поражает материнские платы производства Gigabyte и ASUS на устаревшем ныне чипсете H81 — он дебютировал ещё в 2013 году. Массовый характер заражения машин позволяет предположить, что оно производилось удалённо с использованием некой общей уязвимости.
Анализ вредоносного кода указывает на его китайское происхождение: были выявлены паттерны, присутствовавшие в обнаруженном ранее ботнете MyKings, который разворачивался на майнинговом оборудовании. Механизмы работы CosmicStrand тоже понятны не до конца, поскольку исследователям не удалось перехватить файл полезной нагрузки от командного сервера. Но на одной из машин был выявлен вредонос, предположительно связанный с руткитом — он создал в операционной системе пользователя с именем «aaaabbbb» и присвоил ему привилегии локального администратора.
Источник:
В России перестали работать пиратские версии AutoCAD и другого ПО Autodesk, но выход уже найден
90
Процессор Zilog Z80 скоро снимут с производства — легенде исполнится 48 лет
38
Atom Bomb Baby: рассказываем, почему Fallout — идеальная экранизация видеоигрового материала и почему этот сериал не стоит пропускать
37
Российскую электронику хотят продавать по цене китайской, а разницу компенсировать за счёт государства
33
Подписаться