Diese Malware infiziert Ihr Motherboard und ist fast unmöglich zu entfernen

Eskere Guru

Forscher haben Malware entdeckt, die seit mindestens sechs Jahren heimlich Systeme mit Asus- und Gigabyte-Motherboards infiziert.

Laut einem Bericht von Bleeping Computer infiltrieren chinesischsprachige Hacker seit 2016 Maschinen mit der CosmicStrand-Malware.

Ein digitales verschlüsseltes Schloss mit Daten-Multilayern.

Insbesondere bleibt der bösartige Code, sobald er verteilt wurde, in den Firmware-Images für bestimmte Motherboards weitgehend unentdeckt. Diese spezielle Methode zum Targeting von Firmware-Images wird als Unified Extensible Firmware Interface (UEFI)-Rootkit klassifiziert.

Die Sorte wurde von Forschern, die für das Cybersicherheitsunternehmen Kaspersky arbeiten, CosmicStrand genannt. Eine frühere Version der Malware – genannt Spy Shadow Trojan – wurde jedoch zunächst von Analysten von Qihoo360 entdeckt.

Als Referenz ist UEFI eine wichtige Anwendung, die ein Betriebssystem mit der Firmware der Hardware selbst verbindet. Daher wird UEFI-Code ausgeführt, wenn ein Computer zum ersten Mal gestartet wird, noch bevor Sicherheitsmaßnahmen des Systems ergriffen werden.

Infolgedessen ist Malware, die in das UEFI-Firmware-Image platziert wurde, äußerst effektiv, um Erkennungsmaßnahmen zu umgehen. Noch besorgniserregender ist jedoch die Tatsache, dass die Malware technisch nicht durch eine saubere Neuinstallation des Betriebssystems entfernt werden kann. Sie können es nicht einmal loswerden, indem Sie das Speicherlaufwerk austauschen.

„Dieser Treiber wurde so modifiziert, dass er die Startsequenz abfängt und böswillige Logik einführt“, sagt Mark Lechtik, der zuvor als Reverse Engineer bei Kaspersky gearbeitet hat.

Kaspersky sagte, es habe herausgefunden, dass das CosmicStrand UEFI-Rootkit in den Firmware-Images von Gigabyte- oder Asus-Motherboards entdeckt wurde, die den H81-Chipsatz verwenden, der mit Hardware verbunden ist, die zwischen 2013 und 2015 verkauft wurde.

Computer-Motherboard stockfoto

CosmicStrand-Opfer waren Privatpersonen in China, Iran, Vietnam und Russland, und daher konnten keine Verbindungen zu einem Nationalstaat, einer Organisation oder einer Industrie hergestellt werden. Allerdings bestätigten die Forscher eine CosmicStrand-Verbindung zu einem chinesischsprachigen Bedrohungsakteur aufgrund von Codemustern, die in einem separaten Kryptomining-Botnet auftauchten.

Kaspersky betonte, dass das CosmicStrand UEFI-Firmware-Rootkit mehr oder weniger für immer auf einem infizierten System verbleiben kann.

UEFI-Malware wurde erstmals 2018 von einem anderen Online-Sicherheitsunternehmen, ESET, gemeldet. Bekannt als LoJax, wurde es von russischen Hackern verwendet, die zur APT28-Gruppe gehörten. Seitdem hat die Menge der UEFI-basierten Rootkits, die Systeme infizieren, stetig zugenommen, darunter ESPecter – ein Kit, das angeblich seit 2012 zu Spionagezwecken eingesetzt wird.

An anderer Stelle gaben Sicherheitsanalysten an, Anfang dieses Jahres in Form von MoonBounce „die fortschrittlichste“ UEFI-Firmware entdeckt zu haben.

Es war ein arbeitsreiches Jahr für Gruppen und Hacker, die in der Malware-Community tätig sind. In jüngster Zeit ist es Angreifern gelungen, Microsoft Calculator zur Verbreitung von Schadcode zu verwenden , während Microsoft selbst eine neue Initiative gestartet hat, bei der es Unternehmen Zugang zu seinen internen Sicherheitsdiensten bietet.