کشف بدافزاری که با نصب مجدد سیستم عامل هم زنده میماند
گزارش آزمایشگاه کسپرسکای، یکی از شرکتهای بزرگ امنیت سایبری و ارائه دهنده آنتی ویروس، کشف یک فایل تروجان به نام «IntelUpdate.exe» را تایید میکند. یک بدافزار چینی این تروجان را در فولدر Startup ایجاد میکند و حتی در صورت مشاهده و حذف، مجددا نصب خواهد شد.
به گزارش PCmag، هکرهای چینی ممکن است از بدافزاری که حتی درصورت نصب مجدد سیستمعامل نیز زنده میماند برای جاسوسی از کامپیوترها استفاده کنند. به گفته آزمایشگاه شرکت امنیت سایبری کسپراسکای، این بدافزار با آلوده کردن UEFI (رابط توسعهپذیر سفتافزار یکپارچه) برای باقی ماندن در سیستم آلوده تلاش میکند.
حمله به UEFI بسیار نگران کننده است؛ زیرا از این نرمافزار برای راهاندازی کامپیوتر و بارگذاری سیستمعامل استفاده میشود. این نرمافزار جدای از فضای ذخیرهسازی اصلی فعالیت میکند و معمولا به عنوان سفت افزار در «حافظه SPI مادربرد» (motherboard’s SPI flash memory) قرار دارد. درنتیجه هر فرایند آلودهای که در UEFI قرار گیرد حتی در صورت بازنصب سیستم عامل نیز به کار خود ادامه خواهد داد و از آنتی ویروسهای سنتی در امان خواهد بود.
به گفته مارک لکتیک از محققان آزمایشگاه کسپرسکای «این حمله با وجود اینکه حمله نادری است اما نشان میدهد که مهاجمان در موارد خاص حاضرند تا چه حد برای باقی ماندن در دستگاه قربانی تلاش کنند».
حذف Firmware تنها راهحل
آزمایشگاه کسپراسکای میگوید «از آنجایی که این فایل خود را از فلش SPI (گذرگاه ارتباط جانبی سریال) اجرا میکند، هیچ راهی به جز حذف سفت افزار آلوده وجود نخواهد داشت».
اما هدف نهایی این بد افزار قرار دادن دیگر ابزارهای هک از جمله دزد مستندات در کامپیوتر قربانی است که فایلهایی را پیش از بارگزاری به سرور اصلی هکرها از آدرس «Recent Documents» به سرقت میبرد.
آزمایشگاه کسپراسکای از نام بردن قربانیان خودداری کرد. این آزمایشگاه همچنین اعلام کرده که هکرها به دنبال کامپیوترهایی متعلق به «نهادهای دیپلماتیک در NGOهای آفریقا، آسیا و اروپا» بودهاند و تمامی قربانیان نیز به نحوی با کره جنوبی در ارتباط بودند.
این آزمایشگاه در حین بررسی کد کامپیوتری این بد افزار دریافت که این فرایندها به یک سرور کنترل کننده دسترسی دارند که پیشتر یک گروه هکری وابسته به دولت چین به نام وینتی آن را راهاندازی کرده بودند. بعلاوه این شرکت امنیتی شواهدی یافته است که نشان میدهد سازندگان این بد افزار در کدنویسی از زبان چینی استفاده کردهاند.
با این وجود آزمایشگاه کسپراسکای از اعلام جرم برای گروه خاصی اجتناب کرده است. این آزمایشگاه اعلام کرد «از آنجایی که این تنها ارتباط بین یافتههای ما و گروههایی است که از مسیر ارتباطی گروه وینتی استفاده میکنند، ما به اندازه کافی مطمئن نیستیم که این گروه مسئول اصلی حملات باشد».
روشن نیست که این بدافزار چگونه به این دستگاهها انتقال یافته و کدام مدلهای کامپیوتر نصب به آن آسیب پذیر هستند. آزمایشگاه کسپراسکای اشاره میکند که دستکاری UEFI از آنجایی دشواری است که نیازمند دانش سفت افزار ماشینی و روشهای نفوذ به چیپ فلش SPI روی برد است.
تیم هک عامل ایجاد بدافزار سفتافزار
همچنین این شرکت امنیتی دریافته است که بدافزار UEFI با استفاده از مستنداتی ایجاد شده است که از یک شرکت نظارت و کنترل ایتالیایی به نام تیم هک نشت کرده بود. در سال ۲۰۱۵ فایلهای این شرکت دزدیده شد و در فضای آنلاین منتشر شد و این فایلها نشان میداد که تیم هک نیز در حال فعالیت روی یک حمله UEFI بوده است که میتواند مدلهای Asus X550C و Dell Latitude E6320 را از طریق درایو USB آلوده کند.
این آزمایشگاه در ادامه افزود «البته که نمیتوان دیگر احتمالات از راه دور از جمله یک مکانیسم به روزرسانی دستکاری شده را نادیده گرفت. در این حالت معمولا از نقاط ضعف موجود در فرایند تایید بروزرسانی BIOS استفاده میشود. با اینکه ممکن است حمله از این طریق صورت گرفته باشد اما شواهدی برای پشتیبانی از این ادعا در اختیار نداریم». این آزمایشگاه در ادامه افزود که قربانی باید سفت افزار مادربورد خود را به نسخهای معتبر بروزرسانی کند.
این دومین باری است که محققان از بدافزاری براساس UEFI خبر داده است. فروشنده آنتی ویروس دیگری به نام ESET نیز در سال ۲۰۱۸ از بدافزاری دیگری براساس UEFI خبر داد که در آن زمان احتمال داده میشد از سوی هکرهای وابسته به دولت روسیه منتشر شده باشد.
آزمایشگاه کسپراسکای این بدافزار را به لطف اسکنر سفتافزار این شرکت که از سال پیش عملیاتی شده است شناسایی کرد. این شرکت دریافته است که مجرمان از طریق ایمیلهای فیشینگ با قربانیان ارتباط برقرار کردهاند. اما با این وجود در هیچکدام از این ایمیلها نشانی از حمله به UEFI وجود ندارد. در واقع هنوز مشخص نیست که این بدافزار چگونه وارد دستگاه قربانیان شده است.