Một số mainboard Gigabyte và Asus chứa mã độc UEFI

Các thiết bị Windows ở các nước như Nga, Trung Quốc, Iran và Việt Nam bị xâm phạm bởi mã độc UEFI được tìm thấy trên các bo mạch chủ của Gigabyte và Asus.

Công ty bảo mật ESET đã phát hiện ra bộ rootkit UEFI đầu tiên đã phổ biến vào năm 2018. Loại mã độc này từng là chủ đề gây tranh cãi của các nhà nghiên cứu bảo mật, và trong những năm qua mã độc này trở nên phổ biến hơn nhiều. 

Tuần này, các nhà nghiên cứu của Kaspersky đã tiết lộ một rootkit phần mềm độc hại mới có tên "CosmicStrand", được cho là tác phẩm của một nhóm Trung Quốc không rõ danh tính.

Các nhà nghiên cứu giải thích rằng bộ rootkit đã được phát hiện trong firmware của một số bo mạch chủ AsusGigabyte được trang bị chipset Intel H81, một trong những chipset tồn tại lâu nhất từ ​​thời Haswell, cuối cùng đã bị ngừng sản xuất vào năm 2020.

Một số mainboard Gigabyte và Asus chứa mã độc UEFI

Xem thêm: Ứng dụng chứa mã độc hại, nhận được 3 triệu lượt tải về trên Google Play Store

Vì firmware UEFI là đoạn mã đầu tiên chạy khi bạn bật máy tính, điều này làm cho CosmicStrand đặc biệt khó xóa so với các loại phần mềm độc hại khác. Phần mềm rootkit cũng khó bị phát hiện hơn và mở đường cho hacker cài đặt thêm mã độc vào hệ thống mà chúng đã nhắm mục tiêu.

Chỉ cần xóa sạch bộ nhớ trong PC của bạn sẽ không loại bỏ được sự lây nhiễm và cũng không cần thay thế hoàn toàn các thiết bị lưu trữ. UEFI thực chất là một hệ điều hành nhỏ sống bên trong chip, thường được hàn trên bo mạch chủ. Điều này có nghĩa là việc xóa CosmicStrand cần có các công cụ đặc biệt trong khi PC tắt nguồn. 

Ở thời điểm hiện tại, có vẻ như chỉ có các thiết bị Windows ở các nước như Nga, Trung Quốc, Iran và Việt Nam bị xâm phạm. Tuy nhiên, thiết bị UEFI đã được sử dụng rầm rộ từ cuối năm 2016, điều này làm tăng khả năng loại nhiễm trùng này phổ biến hơn so với giả định trước đây.

Trở lại năm 2017, công ty bảo mật Qihoo360 đã phát hiện ra một phiên bản đầu tiên của CosmicStrand. Trong những năm gần đây, các nhà nghiên cứu đã tìm thấy các rootkit UEFI bổ sung như MosaicRegressorFinSpy , ESpecter và MoonBounce .

Một số mainboard Gigabyte và Asus chứa mã độc UEFI

Đối với CosmicStrand, đây là một mã độc rất mạnh có kích thước dưới 100 kilobyte. Không có nhiều thông tin về cách nó hoạt động, nhưng cách thức hoạt động của nó rất đơn giản. Đầu tiên, mã độc này lây nhiễm vào quá trình khởi động bằng cách đặt cái gọi là "hooks".

Từ đó, hacker có thể cài đặt một hook khác dưới dạng một hàm trong nhân Windows được gọi trong quá trình khởi động tiếp theo. Chức năng này triển khai một mã shellcode trong bộ nhớ có thể liên hệ với máy chủ điều khiển và chỉ huy cũng như tải xuống phần mềm độc hại bổ sung trên PC bị nhiễm.

Một số mainboard Gigabyte và Asus chứa mã độc UEFI

Xem thêm:Động thái mới của Apple trong việc ngăn chặn các phần mềm theo dõi, Pegasus và Hermit

CosmicStrand cũng có thể vô hiệu hóa các bảo vệ hạt nhân như PatchGuard (được gọi là Microsoft Kernel Patch Protection), đây là một tính năng bảo mật quan trọng của Windows. Cũng có một số điểm tương đồng về mẫu mã giữa CosmicStrand và phần mềm độc hại liên quan đến mạng botnet MyKings , vốn đã được sử dụng để triển khai công cụ mã hóa trên máy tính của nạn nhân.

Các nhà nghiên cứu của Kaspersky lo lắng rằng CosmicStrand có thể là một trong nhiều rootkit firmware đã được ẩn trong nhiều năm. Kaspersky cũng lưu ý rằng "nhiều rootkit được phát hiện cho đến nay là bằng chứng cho thấy một điểm mù trong ngành và cần chúng được giải quyết nhanh nhất có thể.

 

Bài viết liên quan

Bài viết đọc nhiều nhất

Bài viết mới trong ngày

Hậu trường siêu lầy lội: Seiyuu Chainsmoker Cat tự vỗ mông tại phòng thu để tạo âm thanh chân thực

Hậu trường siêu lầy lội: Seiyuu Chainsmoker Cat tự vỗ mông tại phòng thu để tạo âm thanh chân thực

hoanlagvn

Một câu chuyện hậu trường vô cùng hài hước và độc lạ vừa được phơi bày, khiến cộng đồng người hâm mộ sê-ri anime đang gây bão "Chainsmoker Cat" (Yani Neko) được một phen cười nghiêng ngả. Nam diễn viên lồng tiếng gạo cội Inada Tetsu vừa chính thức lên tiếng xác nhận một sự thật ngỡ ngàng: Hiệu ứng âm thanh "vỗ mông" đầy chân thực trong tập 3 của bộ phim hoàn toàn do chính anh tự tay... thực hiện trên cơ thể mình ngay trước micro.

Giải trí
Spotify xóa 75 triệu bài hát AI trong một năm, ngành công nghiệp âm nhạc bắt đầu "dán nhãn AI

Spotify xóa 75 triệu bài hát AI trong một năm, ngành công nghiệp âm nhạc bắt đầu "dán nhãn AI

quân

Làn sóng âm nhạc do AI tạo ra đang bùng nổ với tốc độ chưa từng có, buộc Spotify và các tổ chức âm nhạc lớn trên thế giới phải triển khai những biện pháp mạnh tay nhằm ngăn chặn nội dung rác và bảo vệ các nghệ sĩ. Chỉ trong năm 2025, Spotify đã xóa tới 75 triệu bài hát được tạo bằng AI vì vi phạm các tiêu chuẩn của nền tảng.

Công Nghệ
Bản lĩnh của "Cụ tổ" Isekai: Tác giả Mushoku Tensei tuyên bố phớt lờ mọi chỉ trích, kiên định viết theo ý mình

Bản lĩnh của "Cụ tổ" Isekai: Tác giả Mushoku Tensei tuyên bố phớt lờ mọi chỉ trích, kiên định viết theo ý mình

hoanlagvn

Sự trở lại đầy hứa hẹn của mùa 3 bom tấn anime "Mushoku Tensei" (Thất nghiệp chuyển sinh) gần đây đã lập tức kéo theo một làn sóng thảo luận sôi nổi trên khắp các diễn đàn toàn cầu. Giữa tâm điểm của những tranh cãi vốn đã gắn liền với thương hiệu này suốt nhiều năm qua, tác giả Rifujin na Magonote đã có màn đáp trả thẳng thắn, khẳng định ông vẫn sẽ tiếp tục sáng tác theo cách mình mong muốn và tuyệt đối không để những bình luận tiêu cực làm lung lay ngòi bút.

Giải trí
Lên đầu trang