Ұстатпайтын руткит: «Касперский зертханасы» пайдаланушыларды ОЖ қайта жүктегеннен немесе Windows жүйесін қайта орнатқаннан кейін де құрылғыларда қалатын зиянкестен қорғайды.

«Касперский зертханасының» зерттеушілері CosmicStrand деген атау алған UEFI микробағдарламасының «жаңа руткитін» * тапты. Зиянкес операциялық жүйені қайта жүктегеннен немесе Windows жүйесін қайта орнатқаннан кейін де қолданушының компьютерінде қалады. Осы ерекшелік оны табуды қиындатады.

CosmicStrand құрылуын сарапшылар бұрын белгісіз қытай тіліндегі АРТ-тобына жатқызады. Әзірше зиянкелтірушілер қандай мақсатқа ұмтылған белгісіз болғанымен, Қытай, Вьетнам, Иран және Ресейде жеке пайдаланушылар олардың құрбаны болғанын атап өтіледі. 

Барлық шабуылға ұшыраған CosmicStrand құрылғылары Windows негізінде болған: Windows іске қосылғаннан кейін қайта жүктеу кезінде ОЖ деңгейінде зиянды кодтың шағын фрагменті іске қосылған. Осы жүктеуші C&C-серверіне қосылып, сол жерден орындалатын файлдарды алып отырған. 

«UEFI микробағдарламасы – заманауи ДК маңызды құрамдас бөлігі. Оның коды құрылғыны бастапқы жүктеуге және операциялық жүйені іске қосуға жауапты. Егер UEFI-де зиянды код болса, ол операциялық жүйені іске қосқанға дейін бұрын белсенденеді. Осыған байланысты зиянкестердің белсенділігі ОЖ ядросы деңгейінде жұмыс істейтін көптеген қорғаныс шешімдеріне көрінбейді. Микробағдарламаның қатты дискіде емес, аналық платадағы флэш-жадында болуы да CosmicStrand шабуылдарын анықтауды қиындатады. Қазір «Касперский зертханасы» қорғаныстық шешімдері бұл зиянды бағдарламаны анықтайды және блоктайды және біз қауіптер туралы дерекқорды жүйелі түрде жаңартуды жалғастырамыз», - деп түсіндіреді Денис Легезо, Касперский зертханасының киберқауіпсіздік жөніндегі жетекші сарапшысы.

CosmicStrand фреймворкі және оның құрамдауыштарын дәлірек талдау Securelist ұсынылған.

CosmicStrand сияқты қауіптерден қорғану үшін,  «Касперский зертханасы» ұсынады:

• СОС-орталық мамандарына ең соңғы қауіптер туралы ақпараттарға қолжетімділік беру, мысалы Kaspersky Threat Intelligence Portal порталына, онда «Касперский зертханасы» жұмысының 25 жылда жинақталған кибершабуылдар туралы деректер жинақталған (базалық функцияларға еркін қолжетімділік  https://opentip.kaspersky.com / сілтемесі бойынша ашық);
• қызметкерлерге киберқауіпсіздік қағидаларына оқыту жүргізу, мысалы, Kaspersky Automated Security Awareness Platform платформасын пайдалану, өйткені көптеген мақсатты шабуылдар фишингтен басталады;
• барлық инфрақұрылымды Kaspersky Symphony XDR сияқты кез келген күрделіліктегі кибершабуылдардан қорғау үшін кешенді шешімдерді пайдаланыңыз: бұл платформа, басқалармен қатар шабуылдарды анықтау және әсер беру жүйелерден тұрады, олар шабуылдаушылар өздерінің түпкілікті мақсаттарына жеткенге дейін ерте кезеңде анықтауға және тоқтатуға көмектеседі.
• UEFI жүйесін үнемі жаңартып, тек сенімді өнім берушілерден микробағдарламаны пайдалану.

* Вирус жұққан жүйеде жасырын жұмыс істейтін және қауіпсіздік жүйелерінің оларды анықтауын қиындататын арнайы құралдары бар зиянды бағдарламалар сыныбы.