Dagens PS

Nytt cyberhot från Kina: CosmicStrand spionerar via Windows

Nytt cyberhot från Kina: CosmicStrand spionerar via Windows
CosmicStrand kommer från kinesiskspråkiga angripare, och är det andra UEFI-rootkitet som upptäcks i år. Foto: TT
Mia Jacobs
Mia Jacobs
Uppdaterad: 27 juli 2022Publicerad: 27 juli 2022

Ett nytt cyberhot som ser ut att komma från Kina har upptäckts. CosmicStrand tar sig in i den fasta programvaran, och verkar inte gå att bli av med ens om man byter ut hårddisken.

ANNONS
ANNONS

Mest läst i kategorin

Det nya cyberhotet från Kina beskrivs av Kasperesky i en ny rapport, enligt The Hacker News. Än så länge har ingen identifierats som ansvarig, men det är en kinesisk-språkig aktör, rapporterar man.

Tar sig in i fasta programvaran

Den nya sortens sofistikerade UEFI (Unified extensible firmware interface) kallas alltså för CosmicStrand.

“Rootkitet finns i den fasta programvaran i Gigabytes eller Asus moderkort, och vi la märke till att allt är knutet till design som använde H81-chipet”, skriver forskarna från Kaspersky i sin rapport. “Det tyder på att det finns en sårbarhet som kan tillåta angriparna att injicera sitt rootkit i den fasta programvaran.”

Offer i Kina

De offer som identifierats hittills finns i Kina, Vietnam, Iran och Ryssland. De verkar inte knutna till någon särskild organisation eller bransch, skriver The Hacker News.

Rootkits är skadlig programvara som bäddar in sig i det operativsystemets djupaste lager. Fenomenet har gått från att vara ovanligt till mer och mer vanligt som cyberhot. Angriparna får kontroll över offrets dator, och kan alltså enligt forskarna se till att datorn förblir infekterad. Det hjälper inte att ominstallera operativsystemet, eller ens att byta ut hårddisken.

Nummer två som upptäcks i år

CosmicStrand är det andra UEFI-rootkitet som upptäcks i år, skriver The Hacker News. Det första kallas MoonBounce, och upptäcktes i januari. Då handlade det om ett riktat angrepp av Winnti, en grupp med band till Kina.

ANNONS

The Hacker News skriver att CosmicStrand tar sig in i OS-laddningsprocessen och aktiverar ett implantat på kärnnivå när Windowsdatorn startar. Den inbyggda tillgången till datorn tar kontakt med fjärrservern som sedan attackerar systemet.

Läs även: Säkra dina lösenord: Misstagen hackarna älskar 

Läs även: Sverige halkar efter i cyberkriget: Akut brist på kompetens 

Läs mer från Dagens PS - vårt nyhetsbrev är kostnadsfritt:
Mia Jacobs
Mia Jacobs

Journalist på Dagens PS med lång erfarenhet från olika medier.

Mia Jacobs
Mia Jacobs

Journalist på Dagens PS med lång erfarenhet från olika medier.

ANNONS
ANNONS

Senaste nytt

ANNONS