据反病毒厂商卡巴斯基(Kaspersky)称,一种能够在重新安装操作系统后存活的恶意软件已经秘密渗透到华硕(Asus)和技嘉(Gigabyte)的旧主板上。
这种恶意软件被称为“宇宙链”,旨在感染主板UEFI(统一可扩展固件接口),以便它可以在Windows机器上持续存在,即使存储驱动器被移除。
周一,卡巴斯基表示,它在中国、越南、伊朗和俄罗斯的Windows电脑上发现了CosmicStrand。所有受害者都在使用卡巴斯基的免费杀毒软件,所以他们很可能是个人。
该公司的调查(在新窗口中打开)发现CosmicStrand位于旧的华硕和技嘉主板的固件映像中H81(在新窗口中打开)芯片组,最初于2013年推出,但已经停产。
通过感染主板的UEFI, CosmicStrand可以在PC启动时执行恶意进程。这可能导致机器从黑客控制的服务器中检索恶意组件并将其安装在Windows操作系统中。
卡巴斯基说:“不幸的是,我们无法获得来自C2(命令和控制)服务器的数据副本。”但该公司确实发现了证据,表明“宇宙链”的制造商正试图远程劫持受感染的机器。
卡巴斯基也不确定CosmicStrand是如何进入受害者电脑的。但它也有可能是通过系统上已经存在的另一种恶意软件传播的,或者是通过黑客获得对硬件的物理访问。
“通过查看我们能够获得的各种固件映像,我们评估这些修改可能是通过自动补丁程序执行的。如果是这样,那就意味着攻击者事先进入了受害者的电脑,以便提取、修改和覆盖主板的固件,”卡巴斯基补充道。
CosmicStrand并不是第一个基于uefi的恶意软件;多年来,杀毒软件行业已经发现其他几个菌株。然而,CosmicStrand似乎已经在雷达下潜伏了好几年。卡巴斯基的调查发现,恶意软件的一个样本正在与黑客控制的服务器通信,该服务器于2016年12月首次出现。另一个样本在2020年被发现与一个单独的黑客控制的服务器通信。
此外,卡巴斯基指出,中国的杀毒软件供应商奇虎360也同样如此发现(在新窗口中打开)这是2017年CosmicStrand的早期变种,影响了华硕B85M主板。
奇虎的初步报告显示,买家可能是在二手经销商下单后收到了借壳主板。我们无法证实这一信息,”卡巴斯基补充道。
该公司目前怀疑是中国黑客创建了CosmicStrand,理由是其计算机代码与其他与中文黑客有关的恶意软件相匹配。
卡巴斯基公司的恶意软件分析师伊万·科瓦特科夫斯基在接受《PCMag》杂志采访时表示:“卡巴斯基的产品会检测到这种威胁,并阻止其正常执行,使其无害。但我不确定我们能否对固件进行消毒,因为这可能会损坏用户的电脑。”
他补充说:“永久消除感染的唯一方法是重新刷新主板固件,这是一项精细的操作,可以通过BIOS(仅限高级用户)或使用硬件供应商提供的实用程序来执行。”“消除这种感染的另一种(硬核)方法是更换电脑的主板,然后重新安装Windows。”