CosmicStrand UEFI-Rootkit: Kaspersky findet Malware bei Asus und Gigabyte

Das russische Sicherheitsunternehmen hat Schadsoftware in der Firmware von Asus- und Gigabyte-Mainboards gefunden.

Artikel veröffentlicht am , Stephan Skrobisch
H81-Mainboards mit versuchter Firmware
H81-Mainboards mit versuchter Firmware (Bild: Stephan Skrobisch)

Wie sich der Webseite Bleepingcomputer entnehmen lässt, setzen chinesische Hacker mindestens seit dem Jahr 2016 auf ein UEFI-Rootkit, das sich praktisch unbemerkt in den Firmware-Images einiger Mainboards versteckt. Die von Kaspersky auf den Namen CosmicStrand getaufte Malware wurde jetzt sowohl bei Hauptplatinen des Herstellers Asus als auch in der Firmware von Gigabyte-Mainboards gefunden.

Stellenmarkt
  1. Senior Software-Entwickler (m/w/d) PowerBuilder
    efcom gmbh, Neu-Isenburg
  2. Systemadministrator IT Support (m/w/d)
    Endress+Hauser Conducta GmbH+Co. KG, Gerlingen
Detailsuche

Der Vorteil bei der Verwendung eines UEFI-Rootkit besteht darin, dass der UEFI-Code bereits während des Bootvorgangs des Systems ausgeführt wird. Somit kommen mögliche Sicherheitsmechanismen des Betriebssystems erst gar nicht zum Tragen, da dieses noch nicht geladen wurde. Außerdem erweist es sich als äußerst schwierig, betroffene Computer zu identifizieren. Keine Abhilfe schafft an dieser Stelle natürlich auch die Neuinstallation des Betriebssystems oder der Austausch des Speicherlaufwerks.

Das Sicherheitsunternehmen Kaspersky hat zudem weitere technische Details über CosmicStrand veröffentlicht. Die Forscher stellten fest, dass die Malware den Loader des Betriebssystems anpasst und die gesamte Kontrolle übernimmt. Anschließend wird mithilfe eines Command-and-Control-Servers weitere Schadsoftware nachgeladen. Laut Aussagen von Mark Lechtik wurden die kompromittierten Firmware-Images mit einem modifizierten CSMCORE-DXE-Treiber ausgeliefert, der einen Legacy-Boot-Prozess ermöglicht. "Dieser Treiber wurde so modifiziert, dass er die Boot-Sequenz abfängt und ihr eine bösartige Logik hinzufügt."

Mainboards mit H81-Chipsatz betroffen

Kaspersky gab bekannt, dass sich das CosmicStrand UEFI-Rootkit in Firmware-Images von Gigabyte- oder Asus-Motherboards befand, die einen H81-Chipsatz besitzen. Dabei handelt es sich um Hardware aus den Jahren 2013 bis 2015, die bereits größtenteils abgekündigt ist. Um die Schadsoftware auf den betroffenen Boards zu installieren, bedarf es entweder eines physischen Zugriffs oder es muss sich bereits eine Vorläuferversion der Malware auf dem System befinden. Dadurch ist es möglich, das kompromittierte Firmware-Image automatisch zu patchen.

Golem Karrierewelt
  1. Adobe Premiere Pro Grundkurs: virtueller Zwei-Tage-Workshop
    26./27.09.2022, Virtuell
  2. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    05.-07.09.2022, Virtuell
Weitere IT-Trainings

Dem russischen Sicherheitsunternehmen ist es nicht gelungen, auf Grundlage der analysierten Computer der Opfer konkrete Rückschlüsse auf den Bedrohungsakteur zu ziehen. Die Systeme stammten von Privatpersonen aus China, Iran, Vietnam und Russland. Gemeinsamkeiten gab es keine. Lediglich aufgrund von Codemustern lässt sich eine Verbindung zum MyKings-Cryptomining-Botnet vermuten. Hier fanden Malware-Analysten des Herstellers Sophos Artefakte, die auf chinesische Hacker schließen lassen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


nicoledos 30. Jul 2022 / Themenstart

Oder ein externer Zulieferer hat Mist gebaut. Bei Lenovo gab es doch auch schon Rootkits...

fw114 28. Jul 2022 / Themenstart

Haben alle die von IT Sicherheit einen Hauch Ahnung haben vor gewarnt. Ein BS vor dem...

Truster 27. Jul 2022 / Themenstart

dafür kommt sicher noch ein G+ Artikel ;-)

unterhosendieb 27. Jul 2022 / Themenstart

Oh je, 0815 Geschwätz...

Kommentieren



Aktuell auf der Startseite von Golem.de
Krieg der Steine
Kopierte Lego-Mini-Figuren dürfen nicht verkauft werden

Lego hat einen Rechtsstreit um Mini-Figuren gegen einen Spielwarenhändler gewonnen, der Figuren aus China verkauft hat.

Krieg der Steine: Kopierte Lego-Mini-Figuren dürfen nicht verkauft werden
Artikel
  1. Smartphones: Xiaomis neues Foldable ist wesentlich günstiger
    Smartphones
    Xiaomis neues Foldable ist wesentlich günstiger

    Das Xiaomi Mix Fold 2 ähnelt dem Samsung Galaxy Fold 4. Es ist ähnlich gut ausgestattet, kostet aber wesentlich weniger Geld.

  2. USA: Tesla stoppt Bestellungen für das Model 3 Long Range
    USA
    Tesla stoppt Bestellungen für das Model 3 Long Range

    In den USA und Kanada übersteigt die Nachfrage nach dem Tesla Model 3 LR das Angebot, so dass Tesla erstmal keine Bestellungen mehr annimmt.

  3. Web Components mit StencilJS: Mehr Klarheit im Frontend
    Web Components mit StencilJS
    Mehr Klarheit im Frontend

    Je mehr UI/UX in Anwendungen vorkommt, desto mehr Unordnung gibt es im Frontend. StencilJS zeigt, wie man verschiedene Frameworks mit Web Components zusammenbringt.
    Eine Anleitung von Martin Reinhardt

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • BenQ Mobiuz EX3410R 499€ • HyperX Cloud Flight heute für 44€ • MindStar (u. a. AMD Ryzen 5 5600X 169€, Intel Core i5-12400F 179€ und GIGABYTE RTX 3070 Ti Master 8G 699€ + 20€ Cashback) • Weekend Sale bei Alternate (u. a. AKRacing Master PRO für 353,99€) [Werbung]
    •  /