Kaspersky menemukan sebuah firmware rootkit bernama CosmicStrand yang bersemayam di BIOS sejumlah motherboard Asus dan Gigabyte keluaran beberapa tahun ke belakang.

CosmicStrand ini dipercaya dibuat oleh geng hacker asal China, dan menyusup ke motherboard Asus dan Gigabyte dengan chip Intel H81, salah satu chip motherboard yang umurnya paling panjang di era arsitektur Haswell, dan baru berhenti diproduksi pada 2020 lalu.

Rootkit ini menyusup lewat rootkit di sistem UEFI, yang dipakai di BIOS, yang langsung aktif sejak pertama komputer dinyalakan. Hal inilah yang membuat CosmicStrand sulit untuk dibasmi dibanding malware jenis lainnya.

CosmicStrand tak bisa dihapus hanya dengan memformat storage PC, karena dia tersimpan di chip BIOS, yang terpisah dengan storage di PC. UEFI pada dasarnya adalah sistem operasi sederhana yang tersimpan di chip memori non volatile yang lazimnya terpasang secara permanen di motherboard.

Artinya untuk menghapus CosmicStrand dibutuhkan alat khusus untuk menghapus dan menimpa isi chip tersebut, dan dilakukan saat PC dalam kondisi mati. Jika syarat tersebut tak dipenuhi, PC seharusnya akan tetap terinfeksi oleh malware tersebut, demikian dikutip detikINET dari Techspot, Kamis (28/7/2022).

Sejauh ini, Kaspersky baru menemukan CosmicStrand beroperasi di sistem Windows yang ada di negara seperti Rusia, China, Iran, dan Vietnam. Namun karena menyusupi UEFI ini sudah lazim terjadi sejak 2016, bukan tak mungkin infeksi malware tersebut sebenarnya jauh lebih besar.

Pada 2017, perusahaan keamanan siber Qihoo360 menemukan malware yang kemungkina adalah varian awal dari CosmicStrand. Kemudian banyak peneliti keamanan lain yang menemukan banyak malware UEFI seperti MosaicRegressor, FinSpy, ESpecter, dan MoonBounce.

Sementara itu CosmicStrand yang baru ditemukan Kaspersky disebut sebagai malware yang berpotensi menjadi sangat berbahaya, dengan ukuran file sangat kecil, tak sampai 100kb.

Tak jelas bagaimana malware ini bisa menyusup ke dalam UEFI, namun yang jelas cara kerjanya relatif simpel namun mengerikan. Pertama-tama, ia akan menginfeksi proses boot PC, yang kemudian membuatnya bisa memodifikasi Windows kernel loader sebelum dieksekusi.

Dari situ si pembuat malware bisa membajak fungsi di Windows kernel bernama subsequent boot process. Fungsi ini kemudian memasang shellcode di memori yang kemudian bisa terhubung dengan server pembuat malware untuk menginstal malware lain ke PC korban.

CosmicStrand pun bisa mematikan perlindungan kernel seperti PatchGuard, atau dikenal sebagai Microsoft Kernel Patch Protection, yang sangat penting untuk keamanan Windows.

Ada sejumlah kesamaan kode antara CosmicStrand dengan botnet MyKings, yang lazim dipakai untuk memasang penambang kripto di komputer korbannya.

Peneliti di Kaspersky mengkhawatirkan kalau CosmicStrand adalah salah satu dari banyak firmware rootkit yang sukses bersembunyi selama bertahun-tahun tanpa terdeteksi.