UEFI niektórych płyt głównych zainfekowane jest złośliwym kodem. Dotyczy to dwóch producentów

Część płyt dwóch największych producentów płyt głównych posiada zainfekowane złośliwym kodem oprogramowanie układowe UEFI. Nie wiadomo, w jaki sposób doszło do infekcji, jednak jest ona bardzo trudna do wykrycia

Badacze bezpieczeństwa z firmy Kaspersky odkryli w obrazach oprogramowania układowego kilku płyt głównych Asus i Gigabyte rootkit, który nazwali CosmicStrand. Wcześniejszy wariant tego zagrożenia został odkryty przez analityków szkodliwego oprogramowania z Qihoo360, którzy nazwali go trojanem Spy Shadow. Problem dotyczy płyt wyposażonych chipset Intel H81, jeden z najdłużej wspieranych chipsetów ery procesorów Haswell, który został ostatecznie wycofany w 2020 roku.

Niektóre płyty z chipsetem Intel H81 od Asus'a i Gigabyte'a mogą być zainfekowane groźnym złośliwym kodem, który jest trudny do wykrycia i usunięcia. Nie wiadomo w jaki sposób dokonano modyfikacji oprogramowania układowego.

CosmicStrand to złośliwe oprogramowanie o rozmiarze mniejszym niż 100 kilobajtów. Program infekuje proces rozruchu, ustawiając tak zwane „haki” w pewnych punktach przepływu wykonywania, dodając w ten sposób funkcjonalność, której atakujący potrzebuje do zmodyfikowania modułu ładującego jądra systemu Windows przed jego wykonaniem. W tym miejscu można zainstalować kolejne podpięcie w postaci funkcji w jądrze Windows, która jest wywoływana w kolejnym procesie rozruchu. Ta funkcja wdraża w pamięci shellcode (często wykorzystywany przez exploity niskopoziomowy program, odpowiedzialny za wywołanie powłoki systemowej), który może kontaktować się z serwerem dowodzenia i pobierać dodatkowe złośliwe oprogramowanie na zainfekowany komputer.

Złośliwe oprogramowanie umieszczone w obrazie oprogramowania układowego UEFI jest nie tylko trudne do zidentyfikowania, ale także niezwykle trwałe, ponieważ nie można go usunąć przez ponowną instalację systemu operacyjnego lub wymianę dysku. CosmicStrand może również wyłączyć zabezpieczenia jądra, takie jak PatchGuard (znany jako Microsoft Kernel Patch Protection), który jest kluczową funkcją bezpieczeństwa systemu Windows. Badacze z firmy Kaspersky obawiają się, że CosmicStrand może być jednym z wielu rootkitów oprogramowania układowego, które przez lata pozostawały w ukryciu. Zauważają, że „wiele odkrytych do tej pory rootkitów świadczy o słabym punkcie w naszej branży, którym należy się zająć raczej wcześniej niż później”.

Nie jest jasne, w jaki sposób kod został umieszczony na zainfekowanych komputerach, ponieważ proces ten wiązałby się albo z fizycznym dostępem do urządzenia, albo wykorzystaniem oprogramowania zdolnego do automatycznego łatania obrazu oprogramowania układowego. Ofiary zidentyfikowane przez firmę Kaspersky również nie wskazują żadnego tropu co do źródła infekcji, ponieważ nie są ze sobą powiązane i są to osoby prywatne rozrzucone po Chinach, Iranie, Wietnamie i Rosji.  Odkryto jednak powiązania z  botnetem MyKings do wydobywania kryptowalut, gdzie analitycy złośliwego oprogramowania z Sophos znaleźli elementy w języku chińskim, co może wskazywać na pochodzenie twórcy kodu.