Thông thường, khi máy tính nhiễm các loại phần mềm độc hại như virus, mã độc , spyware…, một trong những giải pháp đơn giản nhưng hiệu quả được nhiều người dùng lựa chọn đó là cài đặt lại hệ điều hành trên máy tính. Giải pháp này cho phép “làm sạch” hệ thống, từ đó xóa luôn các loại mã độc xâm nhập vào máy tính. Tuy nhiên, đối với loại mã độc có tên gọi CosmicStrand, giải pháp này sẽ trở nên vô dụng.
Theo các chuyên gia bảo mật của Kaspersky, mã độc CosmicStrand được thiết kế để xâm nhập và lây nhiễm vào board mạch chủ của máy tính thay vì lây nhiễm vào hệ điều hành. Điều này đồng nghĩa với việc ngay cả khi người dùng cài đặt lại hệ điều hành hoặc thậm chí thay mới ổ cứng, CosmicStrand vẫn tiếp tục tồn tại và xâm nhập vào máy tính của người dùng nếu họ tiếp tục sử dụng board mạch chủ có chứa mã độc.
Các chuyên gia của Kaspersky đã phát hiện loại mã độc CosmicStrand trên các board mạch chủ thế hệ cũ do Asus và Gigabyte sản xuất, sử dụng loại chipset H81. Các loại board mạch chủ này được ra mắt lần đầu vào quý II/2013 nhưng sau đó đã ngừng sản xuất vào quý I/2020.
Hiện tại, loại mã độc này đang được phát hiện trên nhiều máy tính chạy hệ điều hành Windows tại Việt Nam, Trung Quốc, Nga và Iran.
Bản đồ cho thấy các quốc gia có máy tính bị nhiễm mã độc CosmicStrand (Ảnh: Kaspersky)
Với việc lây nhiễm vào board mạch chủ, mã độc CosmicStrand có thể chạy các tiến trình độc hại ngay khi máy tính được khởi động. Điều này cho phép các tin tặc có thể xâm nhập, kiểm soát máy tính từ xa hoặc cài đặt thêm các loại mã độc vào hệ điều hành Windows trên máy tính.
Tuy nhiên, theo các chuyên gia của Kaspersky, hiện vẫn chưa rõ làm cách nào để tin tặc có thể cài mã độc CosmicStrand vào board mạch chủ.
Loại mã độc này nhiều khả năng được phát tán thông qua các phần mềm độc hại khác lây nhiễm vào hệ thống, sau đó chiếm quyền điều khiển để sửa đổi quá trình nâng cấp firmware board mạch trên máy tính. Ngoài ra, cũng không loại trừ khả năng tin tặc tấn công vào dây chuyền sản xuất board mạch chủ để cài đặt mã độc lên board mạch trước khi xuất xưởng và đến tay người dùng.
Hiện tại, Kaspersky vẫn chưa xác định được thủ phạm đứng sau loại mã độc CosmicStrand. Tuy nhiên, có những bằng chứng cho thấy các tin tặc đến từ Trung Quốc là tác giả của loại mã độc này do CosmicStrand có nhiều đoạn mã khớp với các loại mã độc khác do hacker Trung Quốc phát tán từng được phát hiện trước đây.
Đáng chú ý, CosmicStrand không phải là loại mã độc đầu tiên lây nhiễm vào board mạch chủ máy tính nhưng đây là loại mã độc đã “lẩn trốn” trong nhiều năm trước khi bị các chuyên gia bảo mật phát hiện ra.
Theo khuyến cáo của các chuyên gia bảo mật, cách duy nhất để xóa bỏ các loại mã độc lây nhiễm vào board mạch chủ của máy tính đó là cài đặt mới firmware của board mạch. Tuy nhiên, đây là một giải pháp khó thực hiện và không phải ai cũng có thể làm được, đặc biệt là với những người không rành về máy tính.
Một giải pháp đơn giản hơn là thay đổi board mạch chủ trên máy tính mà vẫn có thể tận dụng các bộ phận phần cứng khác của máy tính cũ như nguồn, ổ cứng, RAM...
