Перейти к основному разделу

Неуловимый руткит: «Лаборатория Касперского» защитит пользователей от зловреда, который оставался на устройствах даже после переустановки Windows

26 июля 2022 г.

Исследователи «Лаборатории Касперского» обнаружили новый руткит* прошивки UEFI, который получил название CosmicStrand

Зловред остаётся на компьютере жертвы даже после перезагрузки операционной системы или переустановки Windows. Эта особенность усложняет его обнаружение.

Создание CosmicStrand эксперты приписывают ранее неизвестной китайскоязычной APT-группе. И хотя пока неясно, какую цель преследуют злоумышленники, отмечается что их жертвами становились частные пользователи в Китае, Вьетнаме, Иране и России.

Все атакуемые CosmicStrand устройства были на базе Windows: каждый раз во время перезагрузки после запуска Windows уже на уровне ОС запускался небольшой фрагмент вредоносного кода. Этот загрузчик подключался к C&C-серверу и получал оттуда следующие исполняемые файлы.

«Прошивка UEFI — важная составляющая современного ПК. Её код отвечает за начальную загрузку устройства и запуск операционной системы. Если в UEFI есть вредоносный код, то он активируется ещё до запуска операционной системы. Из-за этого активность вредоноса становится невидимой для многих защитных решений, работающих на уровне ядра ОС. Тот факт, что прошивка находится на флеш-памяти на материнской плате, а не на жёстком диске, также способствует тому, что атаки CosmicStrand сложно детектируются. Сейчас защитные решения „Лаборатории Касперского“ успешно обнаруживают и блокируют этот зловред, и мы продолжаем регулярно актуализировать базы угроз», — комментирует Денис Легезо, ведущий эксперт по кибербезопасности «Лаборатории Касперского».

Более подробный анализ фреймворка CosmicStrand и его компонентов представлен на Securelist.

Чтобы защититься от таких угроз, как CosmicStrand, «Лаборатория Касперского» рекомендует:

  • предоставлять специалистам SOC-центра доступ к самым свежим данным об угрозах, например к порталу Kaspersky Threat Intelligence Portal, на котором собраны данные о кибератаках, накопленные за 25 лет работы «Лаборатории Касперского» (свободный доступ к базовым функциям открыт по ссылке https://opentip.kaspersky.com);
  • проводить обучение сотрудников правилам кибербезопасности, например с помощью платформы Kaspersky Automated Security Awareness Platform, так как многие целевые атаки начинаются с фишинга;
  • использовать комплексные решения для защиты всей инфраструктуры от кибератак любой сложности, такие как Kaspersky Symphony XDR: эта платформа содержит в том числе системы обнаружения и реагирования, которые помогут распознавать и останавливать атаки на ранних стадиях, до того как атакующие достигнут своих конечных целей;
  • регулярно обновлять UEFI и использовать прошивку только от надёжных поставщиков.

* Класс вредоносных программ, скрытно действующих в зараженной системе и обладающих специальными средствами, затрудняющими их обнаружение системами безопасности.



Неуловимый руткит: «Лаборатория Касперского» защитит пользователей от зловреда, который оставался на устройствах даже после переустановки Windows

Исследователи «Лаборатории Касперского» обнаружили новый руткит* прошивки UEFI, который получил название CosmicStrand
Kaspersky logo

О «Лаборатории Касперского»

«Лаборатория Касперского» — международная компания, работающая в сфере информационной безопасности и цифровой приватности с 1997 года. На сегодняшний день компания защитила более 1 миллиарда устройств от массовых киберугроз и целенаправленных атак, а накопленные ей знания и опыт последовательно трансформируются в инновационные решения и услуги для защиты бизнеса, критически важной инфраструктуры, государственных органов и рядовых пользователей по всему миру. Обширное портфолио «Лаборатории Касперского» включает в себя передовые технологии для защиты конечных устройств, ряд специализированных продуктов и сервисов, а также кибериммунные решения для борьбы со сложными и постоянно эволюционирующими киберугрозами. Мы помогаем 200 тысячам корпоративных клиентов во всём мире защищать самое ценное для них. Подробнее на www.kaspersky.ru.

Похожие статьи Пресс-релизы