セキュリティベンダー「Kaspersky」から、Windows OSを対象に感染する新たなルートキットの存在を明かしたとする情報が公開された。
ルートキット「CosmicStrand」
Kaspersky社の調査分析チームによると、新たに発見されたルートキットは「CosmicStrand」と名付けられており、Windowsファームウェアを改ざんして不正なコードを埋め込むというもの。
CosmicStrandは、WindowsのOSよりも先に起動することから従来のセキュリティツールによる検知が困難であるという。
また、OSを再インストールしたとしてもCosmicStrand自体はデバイス内に残存するという。
同社チームの観測によると、CosmicStrandによる攻撃を受けたデバイスは攻撃者にリモートコントロールされ、起動時に不正なソフトウェアをダウンロードされていたという。
CosmicStrandの詳細は未解明
Kaspersky社の調査分析チームでは、CosmicStrandの感染経緯を特定できていないという。
現時点で判明している点は以下の通り。
・オンライン上で、ハードウェア商品を購入時に感染か
・ターゲットは企業組織ではなく、中国やベトナム、イラン、ロシア国の個人コンピュータ
・ルートキットの開発者は中国言語を扱う
・2017年の時点では実用されていた
同社チームは、CosmicStrandが発見されるまで何年も気づかれなかったことからも、開発者が非常に高度な能力を持っていると指摘。
今回発見されたルートキットが2017年時点のものということは、現在はどのような新技術が投入されているか不明としている。
【参考URL】 Kaspersky、UEFIファームウェアに感染し長期間潜在するルートキット「CosmicStrand」を発見 https://www.kaspersky.co.jp/about/press-releases |