このマルウェアはマザーボードに感染し、削除することはほとんど不可能です

研究者は、少なくとも6年間、AsusとGigabyteのマザーボードを搭載したシステムに密かに感染しているマルウェアを発見しました。

Bleeping Computerのレポートによると、2016年以降、中国語を話すハッカーがCosmicStrandマルウェアをマシンに侵入させています。

データ多層を備えたデジタル暗号化ロック。
ゲッティイメージズ

特に、悪意のあるコードが配布されると、特定のマザーボードのファームウェアイメージ内でほとんど検出されないままになります。ファームウェアイメージを対象とするこの特定の方法は、Unified Extensible Firmware Interface(UEFI)ルートキットとして分類されます。

この株は、サイバーセキュリティ会社Kasperskyで働いている研究者によってCosmicStrandと名付けられました。ただし、以前のバージョンのマルウェア(Spy Shadow Trojanと呼ばれる)は、Qihoo360のアナリストによって最初に発見されました。

参考までに、UEFIは、オペレーティングシステムをハードウェア自体のファームウェアに接続する重要なアプリケーションです。そのため、UEFIコードは、システムのセキュリティ対策が行われる前であっても、コンピューターが最初に起動したときに実行されるコードです。

その結果、UEFIファームウェアイメージに配置されたマルウェアは、検出手段を回避するのに非常に効果的です。ただし、さらに心配なのは、オペレーティングシステムのクリーンな再インストールを実行しても、マルウェアを技術的に削除できないという事実です。ストレージドライブを交換しても、それを取り除くことはできません。

「このドライバーは、ブートシーケンスを傍受し、悪意のあるロジックを導入するように変更されました」と、以前にKasperskyリバースエンジニアとして働いていたMarkLechtik氏は述べています。

Kasperskyは、CosmicStrand UEFIルートキットが、2013年から2015年の間に販売されたハードウェアに関連付けられているH81チップセットを利用したGigabyteまたはAsusマザーボードのファームウェアイメージ内で発見されたことを発見したと述べました。

コンピュータマザーボードストックフォト
Fancycrave.com/Pexels

CosmicStrandの被害者は、中国、イラン、ベトナム、ロシアに所在する個人であったため、国民国家、組織、または業界とのつながりを確立できませんでした。とは言うものの、研究者たちは、別の暗号マイニングボットネットに登場したコードパターンが原因で、中国語を話す脅威アクターへのCosmicStrandリンクを確認しました。

Kasperskyは、CosmicStrandUEFIファームウェアルートキットが多かれ少なかれ感染したシステムに永久に残る可能性があることを強調しました。

UEFIマルウェアは、2018年に別のオンラインセキュリティ会社であるESETによって最初に報告されました。 LoJaxとして知られ、APT28グループに属するロシアのハッカーによって使用されました。それ以来、システムに感染するUEFIベースのルートキットの量は着実に増加しています。これにはESPecterが含まれます。これには、2012年からスパイ目的で展開されたと言われているキットが含まれます。

他の場所では、セキュリティアナリストは、今年初めにMoonBounceの形で「最も先進的な」UEFIファームウェアを検出したと述べました。

マルウェアコミュニティに関与するグループやハッカーにとって、今年は忙しい年でした。ごく最近、攻撃者はMicrosoft Calculatorを使用して悪意のあるコードを配布することに成功しましたが、Microsoft自体が、企業に内部セキュリティサービスへのアクセスを提供する新しいイニシアチブを開始しました。