{"id":27118,"date":"2022-07-29T14:40:12","date_gmt":"2022-07-29T12:40:12","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=27118"},"modified":"2022-07-29T14:40:12","modified_gmt":"2022-07-29T12:40:12","slug":"cosmicstrand-uefi-rootkit","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/cosmicstrand-uefi-rootkit\/27118\/","title":{"rendered":"CosmicStrand: il rootkit UEFI"},"content":{"rendered":"<p>I nostri esperti <a href=\"https:\/\/securelist.com\/cosmicstrand-uefi-firmware-rootkit\/106973\/\" target=\"_blank\" rel=\"noopener\">hanno esaminato una nuova versione del rootkit CosmicStrand<\/a>, rilevata nel firmware <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/uefi\/\" target=\"_blank\" rel=\"noopener\">UEFI<\/a> (Unified Extensible Firmware Interface) modificato\u00a0\u2014 il codice lanciato prima del processo di avvio del sistema operativo quando il computer viene acceso.<\/p>\n<h2>I rischi del malware UEFI<\/h2>\n<p>Poich\u00e9 il firmware UEFI \u00e8 inserito in un chip sulla scheda madre e non \u00e8 scritto sul disco rigido, risulta immune a ogni manipolazione di quest\u2019ultimo. Per tale ragione \u00e8 molto difficile sbarazzarsi di un malware UEFI: anche formattando il disco rigido e reinstallando il sistema operativo non si otterr\u00e0 alcun risultato. E sempre per lo stesso motivo non tutte le soluzioni di sicurezza possono rilevare i malware che si sono insinuati in UEFI. Molto semplicemente: una volta che il malware si \u00e8 fatto strada nel firmware, ci rester\u00e0.<\/p>\n<p>Infettare UEFI non \u00e8 ovviamente un compito semplice, in quanto richiede un accesso fisico al dispositivo oppure un meccanismo sofisticato per infettare il firmware da remoto. Inoltre, per raggiungere il suo scopo ultimo, qualunque esso sia, il malware non solo deve risiedere in UEFI ma deve insinuarsi nel sistema operativo all\u2019avvio, il che non \u00e8 cos\u00ec facile. Tutto ci\u00f2 richiede un grande sforzo per essere portato a termine; questo spiega il motivo per cui questo malware si rileva principalmente in attacchi mirati contro individui di alto profilo oppure organizzazioni.<\/p>\n<h2>Vittime e possibili vettori d\u2019infezione di CosmicStrand<\/h2>\n<p>Stranamente, le vittime di CosmicStrand che sono state identificate dai nostri esperti erano privati che utilizzavano il nostro antivirus in versione free. Apparentemente non avevano nulla a che fare con quel tipo di organizzazioni che in genere interessano cybercriminali di questo calibro. Si \u00e8 inoltre scoperto che, in tutti i casi conosciuti, le schede madri infette provenivano da due soli produttori. \u00c8 quindi plausibile che i cybercriminali abbiano riscontrato alcune vulnerabilit\u00e0 in comune in queste schede madri e ci\u00f2 abbia reso possibile l\u2019infezione.<\/p>\n<p>Non \u00e8 noto come i cybercriminali siano riusciti esattamente ad insinuare il malware. Il fatto che le vittime di CosmicStrand fossero \u201cpesci piccoli\u201d indica che i malintenzionati dietro questo rootkit possono infettare UEFI da remoto. Ma potrebbero esistere anche altre spiegazioni. Per esempio, gli esperti di Qihoo 360 che hanno studiato alcune precedenti versioni di un CosmicStrand vintage del 2016 <a href=\"https:\/\/bbs.360.cn\/thread-14959110-1-1.html\" target=\"_blank\" rel=\"noopener nofollow\">suggeriscono<\/a> che una delle vittime abbia acquistato da un rivenditore una scheda madre modificata. In questo caso \u00a0i nostri esperti non sono stati in grado di confermare la tecnica precisa di infezione.<\/p>\n<h2>Come agisce CosmicStrand<\/h2>\n<p>Lo scopo principale di CosmicStrand \u00e8 quello di scaricare un programma malevolo all\u2019avvio del sistema operativo, che svolge poi i task fissati dai cybercriminali. Passando inosservato attraverso tutti gli step del processo di avvio del sistema operativo, il rootkit alla fine esegue un codice shell e contatta <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/command-and-control-server-cc\/\" target=\"_blank\" rel=\"noopener\">il server C2<\/a> dei cybercriminali, dal quale riceve un payload malevolo.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-27122\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2022\/07\/29143656\/cosmicstrand-uefi-rootkit-1-3.png\" alt=\"Rootkit CosmicStrand catena d'infezione\" width=\"493\" height=\"637\"><\/p>\n<p>I nostri esperti non sono riusciti ad intercettare il file che il rootkit ha ricevuto dal suo server C2. Tuttavia, sono riusciti a trovare un componente malware su una delle macchine infette, probabilmente riconducibile a CosmicStrand. Questo malware crea un user denominato \u201caaaabbbb\u201d all\u2019interno del sistema operativo con privilegi di amministratore locale. Per maggiori dettagli tecnici su CosmicStrand, date un\u2019occhiata al <a href=\"https:\/\/securelist.com\/cosmicstrand-uefi-firmware-rootkit\/106973\/\" target=\"_blank\" rel=\"noopener\">post dei nostri esperti su Securelist<\/a>.<\/p>\n<h2>Dobbiamo avere paura dei rootkit?<\/h2>\n<p>I cybercriminali utilizzano CosmicStrand dal 2016, senza aver mai attirato in modo particolare l\u2019attenzione degli specialisti di sicurezza informatica. Ci\u00f2 \u00e8 naturalmente preoccupante, ma non \u00e8 poi cos\u00ec negativo. Per iniziare, si tratta di un malware sofisticato e costoso, utilizzato per attacchi mirati e non di massa \u0336- anche se, talvolta, vengono verosimilmente infettate anche persone qualunque. Inoltre, esistono prodotti in grado di individuarlo. Per esempio, <a href=\"https:\/\/www.kaspersky.it\/internet-security?icid=it_kdailyplacehold_acq_ona_smm__onl_b2c_kasperskydaily_wpplaceholder____kismd___\" target=\"_blank\" rel=\"noopener\">le nostre soluzioni di sicurezza<\/a>\u00a0proteggono i nostri utenti dai rootkit.<\/p>\n<p>\u00a0<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kis-difenditi-attacchi-informatici\">\n","protected":false},"excerpt":{"rendered":"<p>I nostri esperti hanno scoperto una nuova versione di CosmicStrand, un rootkit che si nasconde ai ricercatori nel firmware UEFI.<\/p>\n","protected":false},"author":2477,"featured_media":27123,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641],"tags":[3645,682,638,411,3427],"class_list":{"0":"post-27118","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-cosmicstrand","9":"tag-great","10":"tag-minacce","11":"tag-rootkit","12":"tag-uefi"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cosmicstrand-uefi-rootkit\/27118\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/cosmicstrand-uefi-rootkit\/24412\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/cosmicstrand-uefi-rootkit\/19878\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/cosmicstrand-uefi-rootkit\/10046\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/cosmicstrand-uefi-rootkit\/26807\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/cosmicstrand-uefi-rootkit\/24713\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cosmicstrand-uefi-rootkit\/25108\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cosmicstrand-uefi-rootkit\/27453\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cosmicstrand-uefi-rootkit\/33702\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/cosmicstrand-uefi-rootkit\/10893\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cosmicstrand-uefi-rootkit\/45017\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cosmicstrand-uefi-rootkit\/19233\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/cosmicstrand-uefi-rootkit\/19787\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cosmicstrand-uefi-rootkit\/29085\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/cosmicstrand-uefi-rootkit\/25300\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/cosmicstrand-uefi-rootkit\/30778\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/cosmicstrand-uefi-rootkit\/30524\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/rootkit\/","name":"rootkit"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/27118","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2477"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=27118"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/27118\/revisions"}],"predecessor-version":[{"id":27124,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/27118\/revisions\/27124"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/27123"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=27118"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=27118"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=27118"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}