Эксперты «Лаборатории Касперского» обнаружили неожиданную уязвимость в некоторых моделях материнских плат. В отличие от традиционных вирусов, руткит, получивший название CosmicStrand, оказался «вшит» в интерфейс UEFI: его крайне сложно обнаружить, при этом избавиться от вредоносного кода не поможет ни переустановка ОС, ни замена накопителя.

Нажмите для увеличения

Согласно отчёту компании, «под раздачу» попали некоторые модели материнских плат ASUS и GIGABYTE на базе чипсета Intel H81, выпущенные в период с 2013 по 2015 год. Модель распространения вируса пока неизвестна — в качестве одной из версий рассматривается взломанный образ прошивки с модифицированным драйвером CSMCORE DXE, выдаваемый за обновление ПО.

«Самым поразительным аспектом этого отчёта является то, что данный UEFI-руткит, похоже, использовался ещё с 2016 года, задолго до того, как атаки UEFI попали в медийное поле. Это открытие поднимает ещё один вопрос: если уже тогда злоумышленники использовали этот вирус, то что они используют сегодня?», — отметили представители «Лаборатории Касперского».

Все атакованные ПК работали под управлением ОС Windows. Большинство обнаружений, согласно источнику, пришлось на компьютеры, работающие на территории России, Китая и Вьетнама. Информации о практической «деятельности» вируса у экспертов пока нет. Учитывая, что руткит «прописан» непосредственно в загрузчике, избавиться от него можно только с помощью полной перепрошивки UEFI или посредством замены материнской платы ПК.

Источник: 4PDA.