IT експерти са открили компютърен вирус, който се използва от хакерите поне от 2016 г. насам. Той е особено рисков, тъй като може да „оцелее“ дори след смяна на твърдия диск и да заразява компютъра отново и отново, съобщава Ars Technica.

Откритието е на компанията Kaspersky, която е кръстила вируса CosmicStrand. Той атакува не самата операционна система, а UEFI чипа на компютъра. Това е наследникът на BIOS – чип с най-важната системна информация за хардуерните компоненти и техните настройки. UEFI трябва да е по-сигурен от BIOS, но не означава, че е непробиваем.

Сложна, но ефективна атака

CosmicStrand се оказва вариант на Spy Shadow Trojan, който е открит от компанията Qihoo360, съобщава BleepingComputer. И двата атакуват UEFI модула на дънните платки на някои производители. Вече са открити жертви с „дъна“ на Asus и Gigabyte с чипсет Intel H81.

Внедряването на зловреден код в UEFI модула е една от „най-желаните“ цели на хакерите. За антивирусния софтуер е много по-трудно да го засече и още повече да предприеме мерки по защита. И тъй като чипът е част от самата дънна платка, няма значение колко пъти жертвата ще преинсталира операционната система, ще форматира твърдия диск или дори ще го смени. При всяко стартиране на компютъра, вирусът ще се зарежда през UEFI и ще се внедрява в ядрото на Windows.

Процесът е доста сложен, но и ефективен. Най-често атаката започва с опит да се инсталира предварително компрометиран системен драйвер за някой компонент. Той се намесва в процеса по стартиране на системата и внедрява зловредния код. В случая на CosmicStrand, самият код е по-малко от 100 килобайта, но няколкото му реда са достатъчни за превземане на процеса по стартиране на компютъра и да даде възможност на хакерите да инсталират каквото желаят.

Понякога антивирусния софтуер засича последствията, когато вирусът вече е започнал да предприема по-видими действия. Например ограничаване на някои функции или дори създаване на нови акаунти в системата. Също така има способност да деактивира функциите за защита, сред които и PatchGuard. Тя е една от най-важните защити на Windows, като предпазва именно от атаки срещу ядрото.

За сега вирусът не е много разпространен, поне според първоначалните данни. Намерени са негови жертви, предимно частни потребители, в Китай, Иран, Виетнам и Русия, като Kaspersky смята, че извършителят е китайско-говореща група, но няма данни тя е действаща под заръка.

Все по-сложни атаки

Въпреки това CosmicStrand е много добре разработен вирус, който показва висока степен на познания на неговите автори. Тъй като успява много добре да се скрие, няма данни за реалния брой жертви и за истинския мащаб на кампанията за разпространението му.

Експертите са притеснени, че този тип хакерски атаки може да се окажат много по-разпространени от очакваното. Хакерите по света изглежда са намерили начин ефективно да използват BIOS и UEFI за внедряване на зловреден код. Трудно е да се прецени колко варианта на подобни вируси има, но експертите предполагат, че те вероятно са много и повечето от тях успяват да останат скрити с години.

Откритието на CosmicStrand, който е поредният подобен вариант, показва, че „това е сляпа точка на индустрията и трябва да бъде адресирана бързо, казва Kaspersky пред TechSpot.