Bahaya, Rootkit Ini Tetap Ada Walau Instal Ulang Windows

Peneliti Kaspersky mengklaim menemukan rootkit yang dikembangkan oleh aktor ancaman persisten tingkat lanjut (APT) yang masih berada di mesin korban bahkan jika sistem operasi di-boot ulang atau Windows diinstal ulang.

Ini membuatnya sangat berbahaya dalam jangka panjang. Dijuluki “CosmicStrand,” rootkit firmware UEFI ini digunakan terutama untuk menyerang individu di Tiongkok, dengan kasus yang jarang terjadi di Vietnam, Iran, dan Rusia.

Firmware UEFI adalah komponen penting di sebagian besar perangkat keras. Kodenya bertanggung jawab untuk boot perangkat, meluncurkan komponen perangkat lunak yang memuat sistem operasi.

Jika firmware UEFI entah bagaimana atau lainnya dimodifikasi untuk memuat kode berbahaya, kode tersebut akan diluncurkan sebelum sistem operasi, membuat aktivitasnya berpotensi tidak terlihat oleh solusi keamanan dan pertahanan sistem operasi.

Ini, dan fakta bahwa firmware berada pada chip yang terpisah dari perangkat keras, membuat serangan terhadap firmware UEFI sangat rumit dan persisten – karena terlepas dari berapa kali sistem operasi diinstal ulang, malware akan tetap berada di perangkat.

CosmicStrand, penemuan firmware UEFI baru-baru ini oleh para peneliti Kaspersky, dikaitkan dengan aktor ancaman berbahasa Mandarin yang sebelumnya tidak dikenal. Sementara tujuan akhir yang dikejar oleh para penyerang masih belum diketahui, diamati bahwa korban yang terkena dampak adalah pengguna individu dan bukan komputer milik perusahaan atau organisasi.

Semua mesin yang diserang adalah berbasis Windows. Setiap kali komputer boot ulang, sedikit kode berbahaya akan dieksekusi setelah Windows dimulai. Tujuannya adalah untuk terhubung ke server C2 (perintah-dan-kontrol) dan mengunduh executable berbahaya tambahan.

Para peneliti tidak dapat menentukan bagaimana rootkit berakhir pada mesin yang terinfeksi, tetapi akun yang belum dikonfirmasi yang ditemukan secara online menunjukkan bahwa beberapa pengguna telah menerima perangkat yang disusupi saat memesan komponen perangkat keras secara online.

Aspek paling mencolok dari CosmicStrand adalah bahwa implan UEFI tampaknya telah digunakan secara bebas sejak akhir 2016 – jauh sebelum serangan UEFI mulai dideskripsikan secara publik.

“Meskipun baru-baru ini ditemukan, rootkit firmware CosmicStrand UEFI tampaknya telah digunakan cukup lama. Ini menunjukkan bahwa beberapa pelaku ancaman memiliki kemampuan yang sangat canggih yang berhasil mereka simpan di bawah radar sejak 2017,” komentar Ivan Kwiatkowski, peneliti keamanan senior di Global Research and Analysis Team (GReAT) di Kaspersky.

Agar tetap terlindungi dari ancaman seperti CosmicStrand, Kaspersky merekomendasikan:

1. Memberi tim SOC (security operation center) Anda akses ke intelijen ancaman (TI) terbaru. 

2. Menerapkan solusi EDR untuk deteksi level titik akhir, investigasi, dan pemulihan insiden dengan cepat.

3. Memberi staf Anda pelatihan kebersihan keamanan siber dasar karena banyak serangan yang ditargetkan dimulai dengan phishing atau teknik rekayasa sosial lainnya.

4. Menggunakan produk keamanan titik akhir tangguh yang dapat mendeteksi penggunaan firmware.

5. Perbarui firmware UEFI Anda secara teratur dan hanya menggunakan firmware dari vendor tepercaya.