ตั้งแต่ในช่วงปี 2559 แฮ็กเกอร์ชาวจีนมีการใช้มัลแวร์ที่ไม่เคยถูกพบมาก่อนในอิมเมจเฟิร์มแวร์สำหรับเมนบอร์ดบางตัว ซึ่งทำให้เป็นที่รู้จักกันในรูปแบบที่เรียกว่า UEFI rootkit
นักวิจัยจากบริษัทรักษาความปลอดภัยทางไซเบอร์ Kaspersky เรียกมัลแวร์ลักษณะนี้ว่า CosmicStrand แต่ล่าสุดนักวิเคราะห์มัลแวร์จาก Qihoo360 ค้นพบอีกรูปแบบของมัลแวร์ลักษณะดังกล่าว และตั้งชื่อมันว่า Spy Shadow Trojan
ยังไม่แน่ชัดว่าผู้โจมตีสามารถ inject rootkit ลงในอิมเมจเฟิร์มแวร์ของเครื่องเป้าหมายได้อย่างไร แต่นักวิจัยพบมัลแวร์บนเครื่องที่ใช้เมนบอร์ดของ Gigabyte และ ASUS
UEFI rootkit ที่ยังเป็นปริศนา
ซอฟต์แวร์ Unified Extensible Firmware Interface (UEFI) คือสิ่งที่ใช้เชื่อมต่อระบบปฏิบัติการของคอมพิวเตอร์กับเฟิร์มแวร์ของฮาร์ดแวร์
UEFI จะถูกเรียกใช้ระหว่างการบูตของคอมพิวเตอร์ก่อนเริ่มระบบปฏิบัติการ และระบบการรักษาความปลอดภัย
มัลแวร์ที่ฝังอยู่ในอิมเมจเฟิร์มแวร์ UEFI จึงไม่สามารถลบออกได้ถึงแม้จะติดตั้งระบบปฏิบัติการใหม่ หรือเปลี่ยนฮาร์ดดิสก์ใหม่ก็ตาม
รายงานจาก Kaspersky ในวันนี้มีรายละเอียดทางเทคนิคเกี่ยวกับ CosmicStrand ตั้งแต่ส่วนประกอบ UEFI จากเครื่องที่ติดมัลแวร์ รวมถึง kernel-level ในระบบ Windows ทุก ๆ ครั้งที่บูต
กระบวนการทั้งหมดประกอบด้วยการตั้งค่า hooks เพื่อแก้ไขการโหลดของระบบปฏิบัติการ และควบคุมโฟลว์การดำเนินการทั้งหมดเพื่อเปิดใช้ shellcode ที่ดึงข้อมูลเพย์โหลดของคำสั่ง และการควบคุมจากเซิร์ฟเวอร์
Mark Lechtik อดีตพนักงานของ Kaspersky ซึ่งปัจจุบันอยู่ที่ Mandiant มีส่วนร่วมในการวิจัย อธิบายว่าอิมเมจเฟิร์มแวร์ที่ถูกโจมตีนั้นมาพร้อมกับไดรเวอร์ CSMCORE DXE ที่ได้รับการดัดแปลงเพื่อจัดการลำดับการบูตของระบบ
นักวิจัยจากจีนเริ่มทำการวิเคราะห์พฤติกรรมดังกล่าวหลังจากที่ได้รับรายงานจากเหยื่อว่าคอมพิวเตอร์ของพวกเขามีการสร้างบัญชีผู้ใช้ใหม่ และซอฟต์แวร์ป้องกันไวรัสแจ้งเตือนการติดมัลแวร์ ซึ่งพบว่าคอมพิวเตอร์เครื่องดังกล่าวใช้เมนบอร์ด ASUS มือสองที่ซื้อมาจากร้านค้าออนไลน์
Kaspersky สามารถระบุได้ว่ารูทคิต CosmicStrand UEFI นั้นติดอยู่ในอิมเมจเฟิร์มแวร์ของเมนบอร์ด Gigabyte หรือ ASUS ที่มีการออกแบบร่วมกันโดยใช้ชิปเซ็ต H81 เป็นฮาร์ดแวร์เก่าระหว่างปี 2556 ถึง 2558 ซึ่งปัจจุบันมีการเลิกใช้แล้ว
ยังไม่ชัดเจนว่า UEFI rootkit นั้นถูกติดตั้งลงบนคอมพิวเตอร์ได้อย่างไร เนื่องจากการจะทำแบบนี้ได้ต้องมีการเข้าถึงอุปกรณ์โดยตรง หรืออาจจะผ่านมัลแวร์ที่มีความสามารถติดตั้งลงบนอิมเมจเฟิร์มแวร์ได้
ในรายงานของ Kaspersky ระบุเพิ่มเติมว่าระบบที่พบว่าเคยถูกโจมตีเป็นของเอกชนในจีน, อิหร่าน, เวียดนาม และรัสเซีย ซึ่งไม่สามารถเชื่อมโยงกับองค์กร หรืออุตสาหกรรมได้
อย่างไรก็ตามนักวิจัยได้เชื่อมโยง CosmicStrand กับแฮ็กเกอร์ชาวจีนโดยอิงจากรูปแบบโค้ดที่เห็นใน MyKings cryptomining botnet
Kaspersky กล่าวว่า CosmicStrand UEFI firmware rootkit สามารถอยู่ในระบบได้ตลอดการใช้งานของคอมพิวเตอร์ และถูกใช้ในการดำเนินงานมานานหลายปีตั้งแต่ปลายปี 2559
มัลแวร์บน UEFI กลายเป็นเรื่องปกติ
มีรายงานที่เกี่ยวกับ UEFI rootkit ที่ชื่อ LoJax มาจาก ESET ในปี 2561 และถูกใช้ในการโจมตีโดยแฮ็กเกอร์ชาวรัสเซียกลุ่ม APT28 (aka Sednit, Fancy Bear, Sofacy)
สี่ปีต่อมามีการโจมตีด้วยมัลแวร์ UEFI เพิ่มขึ้น ข้อมูลเกี่ยวกับ MosaicRegressor จาก Kaspersky ในปี 2563 ถูกใช้ในการโจมตีองค์กรพัฒนาเอกชนในปี 2562 ปลายปี 2563 มีข่าวว่าผู้พัฒนา TrickBot ได้สร้าง TrickBoot ซึ่งเป็นโมดูลใหม่ที่ตรวจสอบเครื่องที่ถูกโจมตีเพื่อหาช่องโหว่ UEFI
UEFI rootkit อีกตัวได้รับการเปิดเผยในช่วงปลายปี 2564 ซึ่งถูกพัฒนาโดย Gamma Group ซึ่งเป็นส่วนหนึ่งของโซลูชันการเฝ้าระวัง FinFisher ในปีเดียวกันนั้น ESET มีรายละเอียดเกี่ยวกับ bootkit อีกตัวหนึ่งที่เรียกว่า ESPecter ซึ่งส่วนใหญ่ใช้ในการขโมยข้อมูลตั้งแต่ปี 2555
MoonBounce เป็นหนึ่งในเฟิร์มแวร์ UEFI ที่ล้ำสมัยที่สุดได้รับการเปิดเผยในปีนี้ ถูกใช้โดย Winnti กลุ่มแฮ็กเกอร์ชาวจีน (หรือที่รู้จักในชื่อ APT41)
ที่มา: bleepingcomputer