Siteye Git
Uygulama ile Aç

Asus ve Gigabyte anakartlarda yıllardır olan UEFI tabanlı casus yazılım bulundu

Metin Akpınar Abone Ol

Asus ve Gigabyte markalı bazı anakartlarda yıllardır bulunan CosmicStrand adında rootkit casus yazılımı keşfedildi. Yazılımın düşünülenden dahaya yaygın olduğu söyleniliyor.

Bu hafta Kaspersky araştırmacıları CosmicStrand olarak adlandırdıkları yeni rootkit casus yazılım keşfettiler. Yazılımın, henüz bilinmeyen Çinli bir grup tarafından ortaya çıkarıldığına inanılıyor. CosmicStrand yazılımı Asus ve Gigabyte anakartlarda keşfedilmiş durumda.

Araştırmacılar, rootkin’in Intel’in H81 yonga setini kullanan bazı Asus ve Gigabyte markalı anakartların firmware sürümlerinde olduğunu keşfetti. Bu yongalar Intel’in Haswell dönemine ait. Dolayısıyla çok eski bir anakarta sahip değilseniz endişelenmenize gerek yok.

Rootkit nedir, nasıl temizlenir?

Bu arada devam etmeden önce rootkit'lerin kendilerini işletim sisteminin en derin köşelerine gömen, keşfedilmesi son derece güç olan kötü amaçlı yazılımlar olduğunu açıklayalım. Rootkilerin pek çok türü olsa da bu yazıda UEFI rootkitten bahsedeceğiz. UEFI rootkitleri temizlemek için donanıma tekrardan firmware yazılması gerekmektedir. 

Format atmak çözüm değil

CosmicStrand’in hedefinde olan UEFI, esasında bilgisayarı açtığınızda çalışan ilk kod parçasıdır. Genellikle ana karta lehimlenmiş, kalıcı bir bellek yongası içinde bulunan bir işletim sistemi olarak da açıklanabilir. Dolayısıyla buraya bulaşan casus yazılımın kaldırılması son derece zordur zira format atmanız veya sabit diskinizi tamamen silmeniz onu ortadan kaldırmaz.

Şimdilik yalnızca Rusya, Çin, İran ve Vietnam gibi ülkelerdeki Windows sistemlerinin güvenliğini ihlal eden CosmicStrand, 100 kilobayt boyutunda bir casus yazılım. CosmicStrand, ilk olarak bilgisayarın ön yükleme sürecine erişiyor. Sonrasında ise Windows’un çekirdek yükleyicisi üzerinde değişiklik yaparak işletim sisteminin belleğine yerleştirilen kod ile esas kötü amaçlı yazılımın bilgisayara indirilmesi sağlanıyor.

CosmicStrand, ayrıca Windows için kritik güvenlik özelliği olan PatchGuard gibi çekirdek korumalarını da devre dışı bırakabiliyor. Öte yandan keşfedilen yazılımın bir dizi botnet yazılımı ile kod düzeyinde benzerlikler içerdiği belirtiliyor. Kaspersky ise bu alanın kör bir nokta olduğunu ve daha detaylı ele alınması gerektiğini söylüyor.



Haberi DH'de Gör Yorumlar ve Diğer Detaylar
Whatsapp ile Paylaş

Beğenilen Yorumlar

Tümünü Gör
13 Yorumun Tamamını Gör