Quelle: bleepingcomputer.com (Englisch)
Chinesisch sprechende Hacker verwenden seit mindestens 2016 Malware, die praktisch unbemerkt in den Firmware-Images für einige Hauptplatinen steckt, eine der hartnäckigsten Bedrohungen, die gemeinhin als UEFI-Rootkit bekannt ist.
Forscher des Cybersicherheitsunternehmens Kaspersky nannten es CosmicStrand, aber eine frühere Variante der Bedrohung wurde von Malware-Analysten bei Qihoo360 entdeckt, die es Spy Shadow Trojan nannten.
Es ist unklar, wie es dem Bedrohungsakteur gelungen ist, das Rootkit in die Firmware-Images der Zielcomputer zu injizieren, aber die Forscher fanden die Malware auf Computern mit ASUS- und Gigabyte-Motherboards.
Mysteriöses UEFI-Rootkit
Die Unified Extensible Firmware Interface (UEFI)-Software verbindet das Betriebssystem eines Computers mit der Firmware der zugrunde liegenden Hardware.
Der UEFI-Code wird während des Bootvorgangs eines Computers als erstes ausgeführt, noch vor dem Betriebssystem und den verfügbaren Sicherheitslösungen.
Malware, die in das UEFI-Firmware-Image eingeschleust wird, ist nicht nur schwer zu identifizieren, sondern auch extrem hartnäckig, da sie nicht durch eine Neuinstallation des Betriebssystems oder einen Austausch des Speicherlaufwerks entfernt werden kann.
Ein heutiger Bericht von Kaspersky enthält technische Details über CosmicStrand, von der infizierten UEFI-Komponente bis hin zur Einschleusung eines Kernel-Implantats in ein Windows-System bei jedem Start.
Der gesamte Prozess besteht darin, Haken einzurichten, um den Betriebssystemlader zu modifizieren und die Kontrolle über den gesamten Ausführungsfluss zu übernehmen, um den Shellcode zu starten, der die Nutzlast vom Command-and-Control-Server abruft.
Mark Lechtik, ein ehemaliger Reverse Engineer von Kaspersky, der jetzt bei Mandiant arbeitet und an der Untersuchung beteiligt war, erklärt, dass die kompromittierten Firmware-Images mit einem modifizierten CSMCORE DXE-Treiber geliefert wurden, der einen Legacy-Boot-Prozess ermöglicht.
"Dieser Treiber wurde so modifiziert, dass er die Boot-Sequenz abfängt und ihr eine bösartige Logik hinzufügt", schreibt Lechtik in einem Tweet am Montag.
Während die von Kaspersky entdeckte CosmicStrand-Variante neueren Datums ist, enthüllten Forscher von Qihoo360 2017 die ersten Details über eine frühe Version der Malware.
Die chinesischen Forscher begannen mit der Analyse des Implantats, nachdem ein Opfer berichtet hatte, dass sein Computer aus heiterem Himmel ein neues Konto erstellt hatte und die Antivirensoftware ständig vor einer Malware-Infektion warnte.
Laut ihrem Bericht lief das kompromittierte System auf einem gebrauchten ASUS-Motherboard, das der Besitzer in einem Online-Store erworben hatte.
Kaspersky konnte feststellen, dass sich das CosmicStrand UEFI-Rootkit in Firmware-Images von Gigabyte- oder ASUS-Motherboards befand, die alle den H81-Chipsatz verwenden.
Dabei handelt es sich um alte Hardware aus den Jahren 2013 bis 2015, die heute größtenteils abgekündigt ist.
Es ist unklar, wie das Implantat auf den infizierten Computern platziert wurde, da der Prozess entweder physischen Zugriff auf das Gerät oder eine Vorläufer-Malware erfordert, die das Firmware-Image automatisch patchen kann.
Die von Kaspersky identifizierten Opfer geben auch wenig Aufschluss über den Bedrohungsakteur und sein Ziel, da die identifizierten infizierten Systeme Privatpersonen in China, Iran, Vietnam und Russland gehören, die nicht mit einer Organisation oder Branche in Verbindung gebracht werden konnten.
Die Forscher brachten CosmicStrand jedoch mit einem chinesisch sprechenden Akteur in Verbindung, und zwar aufgrund von Codemustern, die auch im MyKings Cryptomining-Botnet zu sehen waren, wo Malware-Analysten von Sophos chinesischsprachige Artefakte fanden.
Kaspersky sagt, dass das CosmicStrand UEFI-Firmware-Rootkit während der gesamten Lebensdauer des Computers auf dem System verbleiben kann und seit Ende 2016 im Einsatz ist.
UEFI-Malware wird immer häufiger
Der erste weit verbreitete Bericht über ein UEFI-Rootkit, das in freier Wildbahn gefunden wurde, LoJax, stammt aus dem Jahr 2018 von ESET und wurde in Angriffen von russischen Hackern der APT28-Gruppe (auch bekannt als Sednit, Fancy Bear, Sofacy) verwendet.
Fast vier Jahre später häufen sich die Berichte über UEFI-Malware-Angriffe in freier Wildbahn, und es waren nicht nur fortgeschrittene Hacker, die diese Option ausprobierten:
Im Jahr 2020 erfuhren wir von MosaicRegressor von Kaspersky, obwohl er bereits 2019 bei Angriffen gegen Nichtregierungsorganisationen eingesetzt wurde.
Ende 2020 kam die Nachricht, dass TrickBot-Entwickler TrickBoot erstellt hatten, ein neues Modul, das kompromittierte Rechner auf UEFI-Schwachstellen überprüfte.
Ende 2021 wurde ein weiteres UEFI-Rootkit enthüllt, das von der Gamma Group als Teil ihrer FinFisher-Überwachungslösung entwickelt wurde.
Im selben Jahr veröffentlichte ESET Details über ein weiteres Bootkit namens ESPecter, von dem angenommen wird, dass es hauptsächlich für Spionagezwecke eingesetzt wird und dessen Ursprünge bis ins Jahr 2012 zurückreichen.
MoonBounce, das als eines der raffiniertesten UEFI-Firmware-Implantate gilt, wurde im Januar dieses Jahres als von Winnti, einer chinesischsprachigen Hackergruppe (auch bekannt als APT41), verwendet enthüllt.