Total Pageviews

Blog Archive

Procura neste Blog

ITO-NeTthings. Com tecnologia do Blogger.

Kaspersky alerta para ameaça que visa todo o mundo

Kaspersky alerta para ameaça que visa todo o mundo
Share it:
Investigadores da Kaspersky alertam para rootkit desenvolvido por um grupo avançado de ameaça persistente (APT) que permanece na máquina da vítima mesmo que o sistema operativo seja reiniciado ou o Windows reinstalado – tornando-o muito perigoso a longo prazo. Denominado "CosmicStrand", este firmware UEFI rootkit foi utilizado principalmente para atacar indivíduos na China, com casos identificados também no Vietname, Irão e Rússia.
O firmware UEFI é um componente crítico na grande maioria do hardware. O seu código é responsável pelo arranque de um dispositivo, lançando o componente de software que carrega o sistema operativo. Se o firmware UEFI for modificado de alguma forma para conter código malicioso, esse código será lançado antes do sistema operativo, tornando a sua atividade potencialmente invisível às soluções de segurança e às defesas do sistema operativo. Isto, e o facto de o firmware residir num chip separado do disco rígido, torna os ataques contra o firmware UEFI excecionalmente evasivos e persistentes – porque independentemente de quantas vezes o sistema operativo for reinstalado, o malware permanecerá no dispositivo.

CosmicStrand, a recente descoberta do firmware UEFI feita pelos investigadores da Kaspersky, é atribuída a um agente malicioso de língua chinesa até agora desconhecido. Embora o objetivo final dos atacantes continue por identificar, observou-se que as vítimas afetadas eram utilizadores individuais – ao contrário dos computadores das empresas.

Todas as máquinas atacadas tinham como sistema operativo o Windows: sempre que um computador era reiniciado, um pouco do código malicioso era executado após o arranque do Windows. O seu objetivo era ligar-se a um servidor C2 (comando e controlo) e descarregar um executável malicioso adicional.

Os investigadores não conseguiram determinar como o rootkit conseguiu alcançar as máquinas infetadas, mas contas online identificadas online indicam que alguns utilizadores receberam dispositivos comprometidos ao encomendar componentes de hardware online.

O aspeto mais marcante do CosmicStrand é que o implante UEFI parece estar em utilização desde 2016 – muito antes dos ataques UEFI terem começado a ser descritos publicamente.

"Apesar de ter sido recentemente descoberto, o CosmicStrand UEFI firmware rootkit parece estar a ser implementado há bastante tempo. Isto indica que alguns agentes de ameaça têm tido capacidades muito avançadas que conseguiram esconder desde 2017. Resta-nos perguntar que novas ferramentas criaram entretanto e que ainda estão por descobrir". comenta Ivan Kwiatkowski, Senior Security Researcher at Global Research and Analysis Team (GReAT) da Kaspersky.

Uma análise mais detalhada do CosmicStrand e dos seus componentes é apresentada na Securelist.

Para se proteger de ameaças como o CosmicStrand, Kaspersky recomenda:
  • Proporcionar à sua equipa SOC acesso às últimas informações sobre ameaças (TI). O Kaspersky Threat Intelligence Portal é um ponto de acesso único para a TI, fornecendo dados de ciberataque e insights recolhidos pela Kaspersky há mais de 20 anos.
  • Implementação de soluções EDR para a deteção do nível de endpoint, investigação e remediação rápida de incidentes, tais como Kaspersky Endpoint Detection and Response.
  • Forneça ao seu pessoal formação básica para cibersegurança, uma vez que muitos ataques direcionados começam com phishing ou outras técnicas de engenharia social.
  • Utilização de um produto de segurança de endpoint robusto que pode detetar a utilização de firmware, tal como Kaspersky Endpoint Security for Business.
  • Atualizar regularmente o seu firmware UEFI e utilizar apenas firmware de fornecedores de confiança.
Share it:

info

Post A Comment:

0 comments: