حذف این بدافزار مادربرد تقریبا غیرممکن است

محققان بدافزاری را کشف کرده‌اند که حداقل شش سال است که به طور مخفیانه سیستم‌های دارای مادربردهای ایسوس و گیگابایت را آلوده می‌کند.

بر اساس گزارش Bleeping Computer، از سال 2016، هکرهای چینی زبان با بدافزار CosmicStrand به ماشین‌ها نفوذ کرده‌اند.

لازم به ذکر است که پس از توزیع کد مخرب، تا حد زیادی در تصاویر سیستم عامل مادربردهای خاص شناسایی نشده باقی می ماند. این روش خاص برای هدف قرار دادن تصاویر سفت‌افزار به‌عنوان روت‌کیت یکپارچه رابط سفت‌افزار توسعه‌پذیر (UEFI) طبقه‌بندی می‌شود.

این سویه توسط محققانی که برای شرکت امنیت سایبری Kaspersky کار می کنند، CosmicStrand نامگذاری شده است. با این حال، نسخه قبلی این بدافزار – به نام Spy Shadow Trojan – در ابتدا توسط تحلیلگران Qihoo360 کشف شد.

برای مرجع، UEFI یک برنامه مهم است که یک سیستم عامل را به سیستم عامل خود سخت افزار متصل می کند. به این ترتیب، کد UEFI همان چیزی است که هنگام بوت شدن کامپیوتر در ابتدا، حتی قبل از هرگونه اقدام امنیتی سیستم، اجرا می شود.

در نتیجه، بدافزاری که در تصویر میان‌افزار UEFI تعبیه شده است، در فرار از اقدامات تشخیص بسیار مؤثر است. با این حال، نگران‌کننده‌تر این واقعیت است که این بدافزار از نظر فنی نمی‌تواند با نصب مجدد سیستم عامل پاک شود. شما حتی نمی توانید با تغییر دستگاه ذخیره سازی از شر آن خلاص شوید.

Mark Lehtik که قبلاً به عنوان مهندس معکوس در Kaspersky کار می کرد، گفت: “این درایور برای رهگیری دنباله بوت و تزریق منطق مخرب به آن اصلاح شد.”

کسپرسکی اعلام کرد که روت کیت CosmicStrand UEFI در تصاویر سیستم عامل مادربردهای گیگابایت یا ایسوس با استفاده از چیپست H81 یافت شده است که مربوط به سخت افزار فروخته شده بین سال های 2013 تا 2015 است.

قربانیان CosmicStrand افراد خصوصی هستند که در چین، ایران، ویتنام و روسیه قرار دارند و بنابراین هیچ ارتباطی با یک دولت-ملیت، سازمان یا صنعت نمی توان برقرار کرد. با این حال، محققان اتصال CosmicStrand را به یک تهدید به زبان چینی به دلیل الگوهای کدی که در یک بات نت رمزنگاری جداگانه ظاهر می‌شوند، تایید کردند.

کسپرسکی تاکید کرد که روت‌کیت فریم‌افزار CosmicStrand UEFI می‌تواند کمابیش روی یک سیستم آلوده برای همیشه بماند.

بدافزار UEFI اولین بار در سال 2018 توسط یک شرکت امنیتی آنلاین دیگر به نام ESET گزارش شد. معروف به LoJax، توسط هکرهای روسی متعلق به گروه APT28 مورد استفاده قرار گرفت. از آن زمان، مقدار سیستم‌های آلوده کننده روت‌کیت‌های مبتنی بر UEFI به طور پیوسته افزایش یافته است، که شامل ESPecter است، کیتی که گفته می‌شود از سال 2012 برای اهداف جاسوسی استفاده شده است.

در جای دیگر، تحلیلگران امنیتی گفتند که “پیشرفته ترین” سفت افزار UEFI را در اوایل سال جاری در قالب MoonBounce کشف کردند.

سال شلوغی برای گروه ها و هکرهای درگیر در جامعه بدافزار بوده است. اخیراً، عوامل تهدید توانسته‌اند از ماشین حساب مایکروسافت برای انتشار کدهای مخرب استفاده کنند، در حالی که خود مایکروسافت ابتکار جدیدی را راه‌اندازی کرده است که به کسب‌وکارها امکان دسترسی به خدمات امنیتی داخلی خود را می‌دهد.

توصیه های سردبیران