Kaspersky เจอมัลแวร์แฝงตัวในเมนบอร์ดรุ่นเก่าของ Asus และ Gigabyte ที่มีความสามารถในการเอาตัวรอดจากการ Re-install Windows ใหม่ได้
มัลแวร์นี้มีชื่อว่า CosmicStrand ออกแบบมาเพื่อฝังตัวใน UEFI (Unified Extensible Firmware Interface) บนเมนบอร์ด ไม่ว่าผู้ใช้จะลบ Windows และลงใหม่ ก็ไม่สามารถกำจัดมันได้ โดย Kaspersky ได้มีการค้นพบมันเมื่อวันจันทร์ที่ 27 กรกฎาคม ค.ศ. 2022 (พ.ศ. 2565) ที่ผ่านมา บนอุปกรณ์ของผู้ใช้ในจีน เวียดนาม อิหร่าน และรัสเซีย ซึ่งเหยื่อแต่ละคนมีการใช้ซอฟต์แวร์แอนตี้ไวรัสของ Kaspersky จึงทำให้บริษัทรวบรวมข้อมูลได้ และได้นำมาเปิดเผยต่อสาธารณะในช่วงเวลาต่อมา
แผนที่แสดงกลุ่มผู้ใช้งานที่เป็นเหยื่อของ CosmicStrand
จากการตรวจสอบพบว่ามัลแวร์ CosmicStrand ได้แฝงตัวเป็นเฟิร์มแวร์บนเมนบอร์ดของ Asus และ Gigabyte รุ่นชิปเซ็ต H81 ที่เปิดตัวครั้งแรกในปี ค.ศ. 2013 (พ.ศ. 2556) แต่เลิกผลิตไปแล้ว เมื่อติดไวรัส CosmicStrand จะเริ่มดำเนินการสื่อสารกับเซิร์ฟเวอร์ที่ควบคุมโดยแฮกเกอร์ และนำโมดูลส่วนที่เป็นอันตรายมาติดตั้งภายในระบบ Windows ผู้เชี่ยวชาญไม่ระบุว่าคอมพิวเตอร์ของเหยื่อมาลงเอยด้วยการติดมัลแวร์ CosmicStrand ได้อย่างไร เหตุผลอาจเป็นเพราะเครื่องเหยื่อติดมัลแวร์มานานแล้ว ก่อนจะมาพบเจอในตอนนี้
อย่างไรก็ตาม CosmicStrand ไม่ใช่มัลแวร์ UEFI ตัวแรก ที่พบในช่วงหลายปีที่ผ่านมา อุตสาหกรรมแอนตี้ไวรัส เคยพบเจอรูปแบบที่คล้ายกันนี้มาก่อน เพียงแต่ CosmicStrand สามารถหลบเลี่ยงการตรวจสอบมาได้หลายปีเท่านั้น จากตัวอย่างต่อไปเป็นมัลแวร์ลักษณะคล้ายกันที่ Kaspersky พบเจอระหว่างพยายามสื่อสารกับเซิฟเวอร์ควบคุมของแฮกเกอร์
เซิฟเวอร์ตัวอย่างที่มัลแวร์พยายามสื่อสารด้วย (ภาพจาก Kaspersky)
Kaspersky ยังชี้ให้เห็นว่าผู้ให้บริการซอฟต์แวร์แอนตี้ไวรัสในจีนอย่าง Qihoo 360 ยังมีการพบ CosmicStrand เช่นกัน เมื่อปี ค.ศ. 2017 (พ.ศ. 2560) ซึ่งเจออยู่ภายใน Asus B85M motherboard และเหยื่ออาจซื้อมาแบบมือสอง แต่ข้อมูลไม่ได้นี้ไม่ได้ยืนยัน
"วิธีที่จะลบการติดไวรัสได้มีอยู่ทางเดียวคือการ "re-flash" เฟิร์มแวร์บนเมนบอร์ด โดยจะต้องทำผ่าน BIOS และต้องมีความเชี่ยวชาญ ไม่เช่นนั้นอาจทำให้เครื่องผู้ใช้เสียหาย อีกวิธีคือเปลี่ยนเมนบอร์ดคอมพิวเตอร์ และติดตั้ง Windows ใหม่" รายงานจาก Kaspersky กล่าว
|
งานเขียนคืออาหาร ปลายปากกา ก็คือปลายตะหลิว |