Malware sudah sepatutnya diwaspadai pada era digitalisasi ini, tak hanya bagi masyarakat pengguna internet tetapi juga bagi penyedia layanan internet atau bahkan pemerintahan. Karena tingkat ancamannya yang tinggi, sudah banyak perusahaan yang menciptakan antivirus untuk malware salah satunya adalah Kaspersky Lab. Tetapi menurut Kaspersky ada sebuah malware yang bahkan tahan dengan antivirus dan install ulang OS. Malware apakah itu? Dan siapa yang menjadi target dari malware tersebut ?
Menurut Kaspersky, malware tersebut ditemukan menargetkan motherboard H81 yang lebih tua dan malware tersebut sudah ada sejak tahun 2016. Strain malware tersebut telah diam-diam menyusup ke motherboard dari Asus dan Gigabyte, yang lebih menakutkan adalah malware tersebut tetap bisa bertahan meskipun telah dilakukan install ulang OS.
Malware tersebut diberi dijuluki CosmicStrand, malware tersebut dirancang untuk untuk menginfeksi UEFI (Unified Extensible Firmware Interface) motherboard, sehingga dapat bertahan di mesin, bahkan jika drive penyimpanan dan OS dihapus.
Beberapa waktu lalu Kaspersky menyampaikan bahwa pihaknya menemukan CosmicStrand beredar di komputer Windows di China, Vietnam, Iran dan Rusia. Semua korban menggunakan perangkat lunak antivirus gratis Kaspersky, jadi kemungkinan besar mereka adalah individu pribadi.
Lewat Investigasi yang dilakukan, Kaspersky menemukan bahwa CosmicStrand terletak pada gambar firmware untuk motherboard Asus dan Gigabyte lama yang menggunakan chipset H81, yang awalnya diluncurkan pada tahun 2013, tetapi telah dihentikan.
Dengan menginfeksi UEFI motherboard, CosmicStrand dapat menjalankan proses berbahaya tepat saat PC dinyalakan. Proses Ini dapat mengakibatkan mesin mengambil komponen jahat dari server yang dikendalikan peretas dan memasangnya di dalam OS Windows.
“Sayangnya, kami tidak dapat memperoleh salinan data yang berasal dari server C2 (command and control),” kata Kaspersky. Tetapi perusahaan menemukan bukti bahwa pembuat CosmicStrand berusaha membajak mesin yang terinfeksi dari jarak jauh.
Kaspersky juga tidak yakin bagaimana CosmicStrand berakhir di komputer korban. Tapi mungkin itu datang melalui jenis malware lain yang sudah ada di sistem, atau melalui peretas yang mendapatkan akses fisik ke perangkat keras.
“Melihat berbagai gambar firmware yang dapat kami peroleh, kami menilai bahwa modifikasi mungkin telah dilakukan dengan patcher otomatis. Jika demikian, penyerang memiliki akses sebelumnya ke komputer korban untuk mengekstrak, memodifikasi, dan menimpa firmware motherboard,” tambah Kaspersky.
CosmicStrand bukanlah malware berbasis UEFI pertama, selama bertahun-tahun industri antivirus telah menemukan beberapa strain lain. Namun, CosmicStrand tampaknya telah mengintai di bawah radar selama beberapa tahun. Investigasi Kaspersky menemukan satu sampel malware berkomunikasi ke server yang dikendalikan peretas yang pertama kali muncul pada Desember 2016. Sampel lain ditemukan berkomunikasi ke server terpisah yang dikendalikan peretas pada 2020.
Selain itu, Kaspersky menunjukkan bahwa vendor antivirus China Qihoo 360 juga menemukan varian awal CosmicStrand pada tahun 2017, yang menyerang motherboard Asus B85M.
“Laporan awal Qihoo menunjukkan bahwa pembeli mungkin telah menerima motherboard backdoor setelah melakukan pemesanan di reseller bekas. Kami tidak dapat mengonfirmasi informasi ini,” tambah Kaspersky.
Kaspersky saat ini mencurigai peretas Cina membuat CosmicStrand, mengutip bagaimana kode komputernya cocok dengan malware lain yang terkait dengan peretas berbahasa Cina.
"Produk Kaspersky akan mendeteksi ancaman ini dan mencegahnya mengeksekusinya dengan benar, menjadikannya tidak berbahaya tetapi saya tidak yakin kami dapat melakukan desinfeksi firmware karena akan ada risiko merusak mesin pengguna," tutur analis malware perusahaan Ivan Kwiatkowski.
"Satu-satunya cara untuk menghilangkan infeksi untuk selamanya adalah mem-flash ulang firmware motherboard, operasi rumit yang dapat dilakukan melalui BIOS (khusus pengguna tingkat lanjut) atau menggunakan utilitas yang disediakan oleh vendor perangkat keras," tambahnya. "Cara alternatif (hardcore) untuk menghilangkan infeksi ini adalah dengan mengganti motherboard komputer, kemudian menginstal ulang Windows."
Referensi :
Ingin tahu informasi dan berita menarik lainnya, silahkan kunjungi website kami yang lain di :
Dan jangan lupa follow media sosial kami yang lain
Instagram : fittechinova
linkedin : https://www.linkedin.com/company/fti-global
Facebook : Fit Tech Inova Global