Uma ameaça existente desde 2016 foi encontrada em modelos de placas-mãe de marcas como Gigabyte e Asus, rodando diretamente no firmware dos componentes e passando despercebida por softwares de segurança. A exploração, mais uma vez, se aproveita de um sistema chamado UEFI, disponível no hardware e já detectado antes em operações cibercriminosas de alta sofisticação.
No caso citado pela companhia de segurança Kaspersky, a praga Cosmic Strand foi encontrada no firmware de modelos das duas fabricantes com o chipset H81, fabricadas e lançadas entre 2013 e 2015. A ideia é que as versões, ainda que potencialmente descontinuadas, pode estar presente em outros tipos de hardware, principalmente por se tratar de uma ameaça persistente que pode permanecer com acesso ao computador durante todo o seu ciclo de vida.
A praga, ainda, carrega similaridades com o malware Spy Shadow Trojan, o encontrado há seis anos pela empresa de segurança Qihoo360 e associado a grupos cibercriminosos chineses. A ideia é que o Cosmic Strand possa ser uma variação do vírus, ainda que sua disseminação exclusivamente em poucos países, com China, Irã, Vietnã e Rússia como os únicos atingidos, dificulte uma atribuição a operações ou grupos conhecidos.
A Kaspersky também não soube determinar como a praga foi inserida na UEFI das placas analisadas, uma vez que esse processo exigiria acesso físico aos componentes ou o uso de pragas altamente capazes, que poderiam aplicar atualizações falsas ao firmware em um processo altamente complexo. Os especialistas, também, não foram capazes de determinar os objetivos da campanha ainda que, no passado, o Spy Shadow Trojan tenha ficado conhecido por seu foco na mineração de criptomoedas.
A UEFI é um software de baixo nível que serve para controlar a entrada e saída de dados da máquina, bem como gerenciar dispositivos conectados. É ela, por exemplo, a responsável por conectar o hardware ao sistema operacional do computador, o que explica a persistência do malware e também sua capacidade de ofuscação, uma vez que ela é executada antes mesmo de qualquer outra coisa e pode manipular processos para se manter oculta.
Essa ideia fez soar com estranheza a forma como a Kaspersky descobriu a existência do CosmicStrand, a partir de uma placa Asus de segunda mão comprada por um usuário pela internet. Enquanto esse caminho combina com a ideia de manipulação maliciosa, isso não explica como o vírus foi detectado em outros componentes nem a descoberta inicial do Spy Shadow Trojan, que veio depois que pesquisadores da firma chinesa analisaram uma máquina que criava usuários com privilégio de administração automaticamente e gerava avisos constantes de softwares de segurança.
O temor é quanto a ataques altamente especializados, principalmente contra fornecedores de equipamentos para governos e grandes empresas, com a inserção desse tipo de praga. Elas costumam ser altamente sofisticadas e, como dito, de difícil remoção e identificação, gerando um risco caso sejam utilizadas em operações de roubo de dados em sistemas que lidam com informações sensíveis ou sigilosas.
Enquanto mais detalhes não surgem, a ideia é que as corporações devem prestar atenção a seus fornecedores, que precisam ser reconhecidos e terem processos claros de segurança e proteção contra manipulação de hardware e software. O mesmo também vale para usuários finais já que, como dito, a praga foi descoberta em uma placa de segunda-mão, que aparentemente foi comprometida intencionalmente para portar o malware.
João Marcelo de Assis Peres
joao.marcelo@guiadocftv.com.br
GuiadoCFTV
Avalie esta notícia, mande seus comentários e sugestões. Encontrou alguma informação incorreta ou algum erro no texto?
Importante: ‘Todos os Conteúdos divulgados decorrem de informações provenientes das fontes aqui indicadas, jamais caberá ao Guia do CFTV qualquer responsabilidade pelo seu conteúdo, veracidade e exatidão. Tudo que é divulgado é de exclusiva responsabilidade do autor e ou fonte redatora.’
Quer enviar suas notícias? Envie um e-mail para noticias@guiadocftv.com.br