Nytt cyberhot från Kina: CosmicStrand spionerar via Windows

Det nya cyberhotet från Kina beskrivs av Kasperesky i en ny rapport, enligt The Hacker News. Än så länge har ingen identifierats som ansvarig, men det är en kinesisk-språkig aktör, rapporterar man.

Tar sig in i fasta programvaran

Den nya sortens sofistikerade UEFI (Unified extensible firmware interface) kallas alltså för CosmicStrand.

“Rootkitet finns i den fasta programvaran i Gigabytes eller Asus moderkort, och vi la märke till att allt är knutet till design som använde H81-chipet”, skriver forskarna från Kaspersky i sin rapport. “Det tyder på att det finns en sårbarhet som kan tillåta angriparna att injicera sitt rootkit i den fasta programvaran.”

Offer i Kina

De offer som identifierats hittills finns i Kina, Vietnam, Iran och Ryssland. De verkar inte knutna till någon särskild organisation eller bransch, skriver The Hacker News.

Rootkits är skadlig programvara som bäddar in sig i det operativsystemets djupaste lager. Fenomenet har gått från att vara ovanligt till mer och mer vanligt som cyberhot. Angriparna får kontroll över offrets dator, och kan alltså enligt forskarna se till att datorn förblir infekterad. Det hjälper inte att ominstallera operativsystemet, eller ens att byta ut hårddisken.

Nummer två som upptäcks i år

CosmicStrand är det andra UEFI-rootkitet som upptäcks i år, skriver The Hacker News. Det första kallas MoonBounce, och upptäcktes i januari. Då handlade det om ett riktat angrepp av Winnti, en grupp med band till Kina.

The Hacker News skriver att CosmicStrand tar sig in i OS-laddningsprocessen och aktiverar ett implantat på kärnnivå när Windowsdatorn startar. Den inbyggda tillgången till datorn tar kontakt med fjärrservern som sedan attackerar systemet.

Läs även: Säkra dina lösenord: Misstagen hackarna älskar 

Läs även: Sverige halkar efter i cyberkriget: Akut brist på kompetens