فناوری اطلاعات

کشف بدافزاری که با نصب مجدد سیستم‌ عامل هم زنده می‌ماند

منبع: پیوست
 
 
گزارش آزمایشگاه کسپرسکای، یکی از شرکت‌های بزرگ امنیت سایبری و ارائه دهنده آنتی ویروس، کشف یک فایل تروجان به نام «IntelUpdate.exe» را تایید می‌کند. یک بدافزار چینی این تروجان را در فولدر Startup ایجاد می‌کند و حتی در صورت مشاهده و حذف، مجددا نصب خواهد شد.
 
به گزارش PCmag، هکر‌های چینی ممکن است از بدافزاری که حتی درصورت نصب مجدد سیستم‌عامل نیز زنده می‌ماند برای جاسوسی از کامپیوترها استفاده کنند. به گفته آزمایشگاه شرکت امنیت سایبری کسپراسکای، این بدافزار‌ با آلوده کردن UEFI (رابط توسعه‌پذیر سفت‌افزار یکپارچه) برای باقی ماندن در سیستم آلوده تلاش می‌کند.
 
حمله به UEFI بسیار نگران کننده است؛ زیرا از این نرم‌افزار برای راه‌اندازی کامپیوتر و بارگذاری سیستم‌عامل استفاده می‌شود. این نرم‌افزار جدای از فضای ذخیره‌سازی اصلی فعالیت می‌کند و معمولا به عنوان سفت افزار در «حافظه SPI مادربرد» (motherboard’s SPI flash memory) قرار دارد. درنتیجه هر فرایند آلوده‌ای که در UEFI قرار گیرد حتی در صورت بازنصب سیستم عامل نیز به کار خود ادامه خواهد داد و از آنتی ویروس‌های سنتی در امان خواهد بود.
 
به گفته مارک لکتیک از محققان آزمایشگاه کسپرسکای «این حمله با وجود اینکه حمله نادری است اما نشان می‌دهد که مهاجمان در موارد خاص حاضرند تا چه حد برای باقی ماندن در دستگاه قربانی تلاش کنند».
 
حذف Firmware تنها راه‌حل
آزمایشگاه کسپراسکای می‌گوید «از آنجایی که این فایل خود را از فلش SPI (گذرگاه ارتباط جانبی سریال) اجرا می‌کند، هیچ راهی به جز حذف سفت افزار آلوده وجود نخواهد داشت».
 
اما هدف نهایی این بد افزار قرار دادن دیگر ابزار‌های هک از جمله دزد مستندات در کامپیوتر قربانی است که فایل‌هایی را پیش از بارگزاری به سرور اصلی هکر‌ها از آدرس «Recent Documents» به سرقت می‌برد.
 
آزمایشگاه کسپراسکای از نام بردن قربانیان خودداری کرد. این آزمایشگاه همچنین اعلام کرده که هکر‌ها به دنبال کامپیوتر‌هایی متعلق به «نهاد‌های دیپلماتیک در NGOهای آفریقا، آسیا و اروپا» بوده‌اند و تمامی قربانیان نیز به نحوی با کره جنوبی در ارتباط بودند.
 
این آزمایشگاه در حین بررسی کد کامپیوتری این بد افزار دریافت که این فرایند‌ها به یک سرور کنترل کننده دسترسی دارند که پیش‌تر یک گروه هکری وابسته به دولت چین به نام وینتی آن را راه‌اندازی کرده بودند. بعلاوه این شرکت امنیتی شواهدی یافته است که نشان می‌دهد سازندگان این بد افزار در کدنویسی از زبان چینی استفاده کرده‌اند.
 
با این وجود آزمایشگاه کسپراسکای از اعلام جرم برای گروه خاصی اجتناب کرده است. این آزمایشگاه اعلام کرد «از آنجایی که این تنها ارتباط بین یافته‌های ما و گروه‌هایی است که از مسیر ارتباطی گروه وینتی استفاده می‌کنند، ما به اندازه کافی مطمئن نیستیم که این گروه مسئول اصلی حملات باشد».
 
روشن نیست که این بدافزار چگونه به این دستگاه‌ها انتقال یافته و کدام مدل‌های کامپیوتر نصب به آن آسیب پذیر هستند. آزمایشگاه کسپراسکای اشاره می‌کند که دستکاری UEFI از آنجایی دشواری است که نیازمند دانش سفت افزار ماشینی و روش‌های نفوذ به چیپ فلش SPI روی برد است.
 
تیم هک عامل ایجاد بدافزار سفت‌افزار
همچنین این شرکت امنیتی دریافته است که بدافزار UEFI با استفاده از مستنداتی ایجاد شده است که از یک شرکت نظارت و کنترل ایتالیایی به نام تیم هک نشت کرده بود. در سال ۲۰۱۵ فایل‌های این شرکت دزدیده شد و در فضای آنلاین منتشر شد و این فایل‌ها نشان می‌داد که تیم هک نیز در حال فعالیت روی یک حمله UEFI بوده است که می‌تواند مدل‌های Asus X550C و Dell Latitude E6320 را از طریق درایو USB آلوده کند.
 
این آزمایشگاه در ادامه افزود «البته که نمی‌توان دیگر احتمالات از راه دور از جمله یک مکانیسم به روزرسانی دستکاری شده را نادیده گرفت. در این حالت معمولا از نقاط ضعف موجود در فرایند تایید بروزرسانی BIOS استفاده می‌شود. با اینکه ممکن است حمله از این طریق صورت گرفته باشد اما شواهدی برای پشتیبانی از این ادعا در اختیار نداریم». این آزمایشگاه در ادامه افزود که قربانی باید سفت افزار مادربورد خود را به نسخه‌ای معتبر بروزرسانی کند.
 
این دومین باری است که محققان از بدافزاری براساس UEFI خبر داده است. فروشنده آنتی ویروس دیگری به نام ESET نیز در سال ۲۰۱۸ از بدافزاری دیگری براساس UEFI خبر داد که در آن زمان احتمال داده می‌شد از سوی هکر‌های وابسته به دولت روسیه منتشر شده باشد.
 
آزمایشگاه کسپراسکای این بدافزار را به لطف اسکنر سفت‌افزار این شرکت که از سال پیش عملیاتی شده است شناسایی کرد. این شرکت دریافته است که مجرمان از طریق ایمیل‌های فیشینگ با قربانیان ارتباط برقرار کرده‌اند. اما با این وجود در هیچکدام از این ایمیل‌ها نشانی از حمله به UEFI وجود ندارد. در واقع هنوز مشخص نیست که این بدافزار چگونه وارد دستگاه قربانیان شده است.

​​