JAKARTA - Peneliti Kaspersky telah menemukan rootkit yang dikembangkan aktor ancaman persisten tingkat lanjut (APT) yang masih berada di mesin korban. Bahkan, jika sistem operasi di-boot ulang atau Windows diinstal ulang akan membuatnya sangat berbahaya dalam jangka panjang.
Dijuluki “CosmicStrand”, rootkit firmware UEFI ini digunakan terutama untuk menyerang individu perseorangan di China, dengan kasus yang jarang terjadi di Vietnam, Iran, dan Rusia.
Firmware UEFI adalah komponen penting di sebagian besar perangkat keras. Kodenya bertanggung jawab untuk mem-boot perangkat, meluncurkan komponen perangkat lunak yang memuat sistem operasi.
Jika firmware UEFI entah bagaimana atau lainnya dimodifikasi untuk memuat kode berbahaya, kode tersebut akan diluncurkan sebelum sistem operasi, membuat aktivitasnya berpotensi tidak terlihat oleh solusi keamanan dan pertahanan sistem operasi.
Ini, dan fakta bahwa firmware berada pada chip yang terpisah dari perangkat keras, membuat serangan terhadap firmware UEFI sangat rumit dan persisten karena terlepas dari berapa kali sistem operasi diinstal ulang, malware akan tetap berada di perangkat.
CosmicStrand, penemuan firmware UEFI baru-baru ini oleh para peneliti Kaspersky, dikaitkan dengan aktor ancaman berbahasa China yang sebelumnya tidak dikenal.
Sementara tujuan akhir yang dikejar oleh para penyerang masih belum diketahui, diamati bahwa korban yang terkena dampak adalah pengguna individu dan bukan komputer milik perusahaan atau organisasi.
Semua mesin yang diserang adalah berbasis Windows: setiap kali komputer di-boot ulang, sedikit kode berbahaya akan dieksekusi setelah Windows dimulai. Tujuannya adalah untuk terhubung ke server C2 (perintah-dan-kontrol) dan mengunduh executable berbahaya tambahan.
Para peneliti tidak dapat menentukan bagaimana rootkit berakhir pada mesin yang terinfeksi, tetapi akun yang belum dikonfirmasi yang ditemukan secara online menunjukkan bahwa beberapa pengguna telah menerima perangkat yang disusupi saat memesan komponen perangkat keras secara online.
Aspek paling mencolok dari CosmicStrand adalah bahwa implan UEFI tampaknya telah digunakan secara bebas sejak akhir 2016, jauh sebelum serangan UEFI mulai dideskripsikan secara publik.
BACA JUGA:
“Meskipun baru-baru ini ditemukan, rootkit firmware CosmicStrand UEFI tampaknya telah digunakan cukup lama. Ini menunjukkan bahwa beberapa pelaku ancaman memiliki kemampuan yang sangat canggih yang berhasil mereka simpan di bawah radar sejak 2017. Kami dibiarkan bertanya-tanya alat baru apa yang telah mereka buat, sementara, itu yang belum kami temukan.” komentar Ivan Kwiatkowski, peneliti keamanan senior di Global Research and Analysis Team (GReAT) di Kaspersky.
Analisis yang lebih rinci tentang kerangka kerja CosmicStrand dan komponennya disajikan di Securelist.
Agar tetap terlindungi dari ancaman seperti CosmicStrand, Kaspersky merekomendasikan:
- Memberi tim SOC (security operation center) Anda akses ke intelijen ancaman (TI) terbaru. Kaspersky Threat Intelligence Portal adalah satu titik akses untuk TI, yang menyediakan data dan wawasan serangan siber yang dikumpulkan oleh Kaspersky selama lebih dari 20 tahun.
- Menerapkan solusi EDR untuk deteksi level titik akhir, investigasi, dan pemulihan insiden dengan cepat, seperti Kaspersky Endpoint Detection and Response.
- Memberi staf Anda pelatihan kebersihan keamanan siber dasar karena banyak serangan yang ditargetkan dimulai dengan phishing atau teknik rekayasa sosial lainnya.
- Menggunakan produk keamanan titik akhir tangguh yang dapat mendeteksi penggunaan firmware, seperti Kaspersky Endpoint Security for Business.
- Perbarui firmware UEFI Anda secara teratur dan hanya menggunakan firmware dari vendor tepercaya.
