CosmicStrand: Rootkit Firmware Canggih Memungkinkan Kegigihan yang Tahan Lama
Ilustrasi Kaspersky
Cyberthreat.id – Peneliti Kaspersky telah menemukan rootkit yang dikembangkan oleh aktor ancaman persisten tingkat lanjut (APT) yang masih berada di mesin korban bahkan jika sistem operasi di-boot ulang atau Windows diinstal ulang – sehingga membuatnya sangat berbahaya dalam jangka panjang.
Peneliti Keamanan Senior Global Research and Analysis Team (GReAT) Kaspersky Ivan Kwiatkowski mengatakan meskipun baru-baru ini ditemukan, rootkit firmware CosmicStrand UEFI tampaknya telah digunakan cukup lama. Ini menunjukkan bahwa beberapa pelaku ancaman memiliki kemampuan yang sangat canggih yang berhasil mereka simpan di bawah radar sejak 2017.
"Kami dibiarkan bertanya-tanya alat baru apa yang telah mereka buat, sementara, itu yang belum kami temukan," katanya dalam keterangan resmi, Jakarta, Jumat (29/7).
Dijuluki “CosmicStrand,” rootkit firmware UEFI ini digunakan terutama untuk menyerang individu perseorangan di China, dengan kasus yang jarang terjadi di Vietnam, Iran, dan Rusia.
Firmware UEFI adalah komponen penting di sebagian besar perangkat keras. Kodenya bertanggung jawab untuk mem-boot perangkat, meluncurkan komponen perangkat lunak yang memuat sistem operasi.
Jika firmware UEFI entah bagaimana atau lainnya dimodifikasi untuk memuat kode berbahaya, kode tersebut akan diluncurkan sebelum sistem operasi, membuat aktivitasnya berpotensi tidak terlihat oleh solusi keamanan dan pertahanan sistem operasi.
Ini, dan fakta bahwa firmware berada pada chip yang terpisah dari perangkat keras, membuat serangan terhadap firmware UEFI sangat rumit dan persisten karena terlepas dari berapa kali sistem operasi diinstal ulang, malware akan tetap berada di perangkat.
CosmicStrand, penemuan firmware UEFI baru-baru ini oleh para peneliti Kaspersky, dikaitkan dengan aktor ancaman berbahasa China yang sebelumnya tidak dikenal.
Sementara tujuan akhir yang dikejar oleh para penyerang masih belum diketahui, diamati bahwa korban yang terkena dampak adalah pengguna individu dan bukan komputer milik perusahaan atau organisasi.
Semua mesin yang diserang adalah berbasis Windows: setiap kali komputer di-boot ulang, sedikit kode berbahaya akan dieksekusi setelah Windows dimulai. Tujuannya adalah untuk terhubung ke server C2 (perintah-dan-kontrol) dan mengunduh executable berbahaya tambahan.
Para peneliti tidak dapat menentukan bagaimana rootkit berakhir pada mesin yang terinfeksi, tetapi akun yang belum dikonfirmasi yang ditemukan secara online menunjukkan bahwa beberapa pengguna telah menerima perangkat yang disusupi saat memesan komponen perangkat keras secara online.
Aspek paling mencolok dari CosmicStrand adalah bahwa implan UEFI tampaknya telah digunakan secara bebas sejak akhir 2016 – jauh sebelum serangan UEFI mulai dideskripsikan secara publik.
