Meski Sudah Diinstal Ulang CosmicStrand Akan Tetap Ada, Kaspersky Peringatkan Bahaya Rootkit
Kredit Foto: Unsplash/Luca Bravo
Peneliti Kaspersky telah menemukan rootkit yang dikembangkan oleh aktor ancaman persisten tingkat lanjut (APT) yang masih berada di mesin korban bahkan jika sistem operasi di-boot ulang atau Windows diinstal ulang sehingga membuatnya sangat berbahaya dalam jangka panjang.
Dijuluki “CosmicStrand,” rootkit firmware UEFI ini digunakan terutama untuk menyerang individu perseorangan di China, dengan kasus yang jarang terjadi di Vietnam, Iran, dan Rusia.
Melansir dari siaran resminya, Jumat (29/7/2022), firmware UEFI adalah komponen penting di sebagian besar perangkat keras. Kodenya bertanggung jawab untuk mem-boot perangkat, meluncurkan komponen perangkat lunak yang memuat sistem operasi.
Baca Juga: Waspada Kejahatan Siber Saat WFA, Ini Laporan Kaspersky terkait Ancaman Online
Peneliti keamanan senior di Global Research and Analysis Team (GReAT) di Kaspersky, Ivan Kwiatkowsk mengatakan jiika firmware UEFI entah bagaimana atau lainnya dimodifikasi untuk memuat kode berbahaya, kode tersebut akan diluncurkan sebelum sistem operasi, membuat aktivitasnya berpotensi tidak terlihat oleh solusi keamanan dan pertahanan sistem operasi.
"Ini, dan fakta bahwa firmware berada pada chip yang terpisah dari perangkat keras, membuat serangan terhadap firmware UEFI sangat rumit dan persisten, karena terlepas dari berapa kali sistem operasi diinstal ulang, malware akan tetap berada di perangkat," katanya.
Ia menjelaskan CosmicStrand, penemuan firmware UEFI baru-baru ini oleh para peneliti Kaspersky, dikaitkan dengan aktor ancaman berbahasa China yang sebelumnya tidak dikenal. Sementara tujuan akhir yang dikejar oleh para penyerang masih belum diketahui, diamati bahwa korban yang terkena dampak adalah pengguna individu dan bukan komputer milik perusahaan atau organisasi.
"Semua mesin yang diserang adalah berbasis Windows: setiap kali komputer di-boot ulang, sedikit kode berbahaya akan dieksekusi setelah Windows dimulai. Tujuannya adalah untuk terhubung ke server C2 (perintah-dan-kontrol) dan mengunduh executable berbahaya tambahan," tuturnya.
Ia juga mengungkapkan para peneliti tidak dapat menentukan bagaimana rootkit berakhir pada mesin yang terinfeksi, tetapi akun yang belum dikonfirmasi yang ditemukan secara online menunjukkan bahwa beberapa pengguna telah menerima perangkat yang disusupi saat memesan komponen perangkat keras secara online.
Aspek paling mencolok dari CosmicStrand adalah bahwa implan UEFI tampaknya telah digunakan secara bebas sejak akhir 2016 jauh sebelum serangan UEFI mulai dideskripsikan secara publik.
“Meskipun baru-baru ini ditemukan, rootkit firmware CosmicStrand UEFI tampaknya telah digunakan cukup lama. Ini menunjukkan bahwa beberapa pelaku ancaman memiliki kemampuan yang sangat canggih yang berhasil mereka simpan di bawah radar sejak 2017. Kami dibiarkan bertanya-tanya alat baru apa yang telah mereka buat, sementara, itu yang belum kami temukan,” tutup Ivan.
Mau Berita Terbaru Lainnya dari Warta Ekonomi? Yuk Follow Kami di Google News dengan Klik Simbol Bintang.
Penulis: Nuzulia Nur Rahma
Editor: Rosmayanti
Tag Terkait:
