Malware CosmicStrand UEFI Ditemukan di Gigabyte, Motherboard ASUS

Cyberthreat.id – Peretas berbahasa Cina telah menggunakan setidaknya sejak 2016 malware yang hampir tidak terdeteksi dalam gambar firmware untuk beberapa motherboard, salah satu ancaman paling gigih yang umumnya dikenal sebagai rootkit UEFI.

Dilansir Bleeping Computer, para peneliti di perusahaan keamanan siber Kaspersky menyebutnya CosmicStrand tetapi varian ancaman sebelumnya ditemukan oleh analis malware di Qihoo360, yang menamakannya Spy Shadow Trojan.

Tidak jelas bagaimana pelaku ancaman berhasil menyuntikkan rootkit ke dalam gambar firmware dari mesin target, tetapi peneliti menemukan malware pada mesin dengan motherboard ASUS dan Gigabyte.

Lebih lanjut, perangkat lunak Unified Extensible Firmware Interface (UEFI) adalah yang menghubungkan sistem operasi komputer dengan firmware perangkat keras yang mendasarinya.

Kode UEFI adalah yang pertama dijalankan selama urutan boot komputer, mendahului sistem operasi dan solusi keamanan yang tersedia.

Malware yang ditanam dalam gambar firmware UEFI tidak hanya sulit untuk diidentifikasi tetapi juga sangat persisten karena tidak dapat dihapus dengan menginstal ulang sistem operasi atau dengan mengganti drive penyimpanan.

Sebuah laporan dari Kaspersky hari ini memberikan rincian teknis tentang CosmicStrand, dari komponen UEFI yang terinfeksi hingga menerapkan implan tingkat kernel ke dalam sistem Windows di setiap boot.

Seluruh proses terdiri dari menyiapkan kait untuk memodifikasi pemuat sistem operasi dan mengendalikan seluruh aliran eksekusi untuk meluncurkan shellcode yang mengambil muatan dari server perintah dan kontrol.

Mark Lechtik, mantan insinyur balik Kaspersky, sekarang di Mandiant, yang terlibat dalam penelitian, menjelaskan bahwa gambar firmware yang dikompromikan datang dengan driver CSMCORE DXE yang dimodifikasi, yang memungkinkan proses boot lama.

"Driver ini dimodifikasi untuk mencegat urutan boot dan memasukkan logika jahat ke dalamnya," catatan Lechtik dalam tweet pada hari Senin.

Sementara varian CosmicStrand yang ditemukan Kaspersky lebih baru, para peneliti di Qihoo360 mengungkapkan pada tahun 2017 detail pertama tentang versi awal malware.

Para peneliti Cina harus menganalisis implan setelah korban melaporkan bahwa komputer mereka telah membuat akun baru secara tiba-tiba dan perangkat lunak antivirus terus memperingatkan infeksi malware.

Menurut laporan mereka, sistem yang disusupi berjalan pada motherboard ASUS bekas yang dibeli pemiliknya dari toko online.

Kaspersky dapat menentukan bahwa rootkit CosmicStrand UEFI dimasukkan ke dalam gambar firmware motherboard Gigabyte atau ASUS yang memiliki desain yang sama menggunakan chipset H81.

Ini mengacu pada perangkat keras lama antara 2013 hingga 2015 yang sebagian besar dihentikan saat ini.

Tidak jelas bagaimana implan ditempatkan pada komputer yang terinfeksi karena prosesnya akan melibatkan akses fisik ke perangkat atau melalui malware pendahulu yang mampu secara otomatis menambal gambar firmware.

Korban yang diidentifikasi oleh Kaspersky juga memberikan sedikit petunjuk tentang pelaku ancaman dan tujuan mereka karena sistem yang terinfeksi yang teridentifikasi milik individu pribadi di China, Iran, Vietnam, dan Rusia yang tidak dapat dikaitkan dengan organisasi atau industri.

Namun, para peneliti menghubungkan CosmicStrand ke aktor berbahasa Mandarin berdasarkan pola kode yang juga terlihat di botnet cryptomining MyKings, tempat analis malware di Sophos menemukan artefak berbahasa Mandarin.

Kaspersky mengatakan bahwa rootkit firmware CosmicStrand UEFI dapat bertahan di sistem selama masa pakai komputer dan telah digunakan dalam operasi selama bertahun-tahun, sejak akhir 2016.