1 (09.08.2022 14:40:31 отредактировано alt6kdesktop)

Лаборатория Касперского обнаружила руткит прошивки UEFI, получивший название CosmicStrand. Он остаётся на ПК после перезагрузки операционной системы или даже после её переустановки. Создание CosmicStrand эксперты приписывают китайскоязычной APT-группе. Жертвами злоумышленников становятся частные пользователи в Китае, Вьетнаме, Иране и России.

Работет он так: во время перезагрузки после запуска системы уже на уровне ОС запускается загрузчик вредоносного кода. Он подключается к C&C-серверу и скачивает оттуда исполняемые файлы. Если в UEFI попадает вредоносный код, он активируется ещё до запуска операционной системы и поэтому его активность не видна на уровне ядра ОС. Тот факт, что прошивка находится на флеш-памяти системной платы, а не на жёстком диске, также способствует тому, что атаку CosmicStrand сложно обнаружить.

Более подробный анализ фреймворка CosmicStrand и его компонентов представлен на Securelist. Пока что все атакуемые устройства были обнаружены только на базе Windows, но это не значит, что с Linux можно спать спокойно.

Компании Intezer объявила о вредоносном фреймворке Lightning Framework, нацеленном на системы под управлением Linux. Он устанавливает в систему несколько плагинов и руткит, а также открывает к ней доступ через SSH. Фреймворк нацелен на загрузчик и модуль ядра: подменяется загрузчик и активирует ядра, загружая сторонние модули. Ядро, в свою очередь, обменивается данными с контрольными серверами и запускает плагины.
Часть из которых - программы с открытым кодом. Вирус умело маскируется. Например, загрузчик выдаёт себя за вполне лигитивную программу Seahorse — менеджер паролей и криптоключей под GNOME (исполняемый файл kbioset загружается в каталог /usr/Lib64/seahorses/).

Вирус постоянно модифицирует время и дату создаваемых им файлов так, чтобы они совпадали с аналогичными характеристиками штатных приложений whoami, find или su. Идентификатор процессов (ProcessID) и сетевые порты, которыми пользуются устанавливаемые руткиты, скрываются. Самое неприятное, что на данный момент отрабатывается вариант проникновения Lightning в UEFI.