امنیت

سیستم‌عامل و نرم‌افزار

فناوری اطلاعات

October 7, 2020
16:28 چهارشنبه، 16ام مهرماه 1399
کد خبر: 116946

کشف بدافزاری که با نصب مجدد سیستم‌ عامل هم زنده می‌ماند

 
 
گزارش آزمایشگاه کسپرسکای، یکی از شرکت‌های بزرگ امنیت سایبری و ارائه دهنده آنتی ویروس، کشف یک فایل تروجان به نام «IntelUpdate.exe» را تایید می‌کند. یک بدافزار چینی این تروجان را در فولدر Startup ایجاد می‌کند و حتی در صورت مشاهده و حذف، مجددا نصب خواهد شد.
 
به گزارش PCmag، هکر‌های چینی ممکن است از بدافزاری که حتی درصورت نصب مجدد سیستم‌عامل نیز زنده می‌ماند برای جاسوسی از کامپیوترها استفاده کنند. به گفته آزمایشگاه شرکت امنیت سایبری کسپراسکای، این بدافزار‌ با آلوده کردن UEFI (رابط توسعه‌پذیر سفت‌افزار یکپارچه) برای باقی ماندن در سیستم آلوده تلاش می‌کند.
 
حمله به UEFI بسیار نگران کننده است؛ زیرا از این نرم‌افزار برای راه‌اندازی کامپیوتر و بارگذاری سیستم‌عامل استفاده می‌شود. این نرم‌افزار جدای از فضای ذخیره‌سازی اصلی فعالیت می‌کند و معمولا به عنوان سفت افزار در «حافظه SPI مادربرد» (motherboard’s SPI flash memory) قرار دارد. درنتیجه هر فرایند آلوده‌ای که در UEFI قرار گیرد حتی در صورت بازنصب سیستم عامل نیز به کار خود ادامه خواهد داد و از آنتی ویروس‌های سنتی در امان خواهد بود.
 
به گفته مارک لکتیک از محققان آزمایشگاه کسپرسکای «این حمله با وجود اینکه حمله نادری است اما نشان می‌دهد که مهاجمان در موارد خاص حاضرند تا چه حد برای باقی ماندن در دستگاه قربانی تلاش کنند».
 
حذف Firmware تنها راه‌حل
آزمایشگاه کسپراسکای می‌گوید «از آنجایی که این فایل خود را از فلش SPI (گذرگاه ارتباط جانبی سریال) اجرا می‌کند، هیچ راهی به جز حذف سفت افزار آلوده وجود نخواهد داشت».
 
اما هدف نهایی این بد افزار قرار دادن دیگر ابزار‌های هک از جمله دزد مستندات در کامپیوتر قربانی است که فایل‌هایی را پیش از بارگزاری به سرور اصلی هکر‌ها از آدرس «Recent Documents» به سرقت می‌برد.
 
آزمایشگاه کسپراسکای از نام بردن قربانیان خودداری کرد. این آزمایشگاه همچنین اعلام کرده که هکر‌ها به دنبال کامپیوتر‌هایی متعلق به «نهاد‌های دیپلماتیک در NGOهای آفریقا، آسیا و اروپا» بوده‌اند و تمامی قربانیان نیز به نحوی با کره جنوبی در ارتباط بودند.
 
این آزمایشگاه در حین بررسی کد کامپیوتری این بد افزار دریافت که این فرایند‌ها به یک سرور کنترل کننده دسترسی دارند که پیش‌تر یک گروه هکری وابسته به دولت چین به نام وینتی آن را راه‌اندازی کرده بودند. بعلاوه این شرکت امنیتی شواهدی یافته است که نشان می‌دهد سازندگان این بد افزار در کدنویسی از زبان چینی استفاده کرده‌اند.
 
با این وجود آزمایشگاه کسپراسکای از اعلام جرم برای گروه خاصی اجتناب کرده است. این آزمایشگاه اعلام کرد «از آنجایی که این تنها ارتباط بین یافته‌های ما و گروه‌هایی است که از مسیر ارتباطی گروه وینتی استفاده می‌کنند، ما به اندازه کافی مطمئن نیستیم که این گروه مسئول اصلی حملات باشد».
 
روشن نیست که این بدافزار چگونه به این دستگاه‌ها انتقال یافته و کدام مدل‌های کامپیوتر نصب به آن آسیب پذیر هستند. آزمایشگاه کسپراسکای اشاره می‌کند که دستکاری UEFI از آنجایی دشواری است که نیازمند دانش سفت افزار ماشینی و روش‌های نفوذ به چیپ فلش SPI روی برد است.
 
تیم هک عامل ایجاد بدافزار سفت‌افزار
همچنین این شرکت امنیتی دریافته است که بدافزار UEFI با استفاده از مستنداتی ایجاد شده است که از یک شرکت نظارت و کنترل ایتالیایی به نام تیم هک نشت کرده بود. در سال ۲۰۱۵ فایل‌های این شرکت دزدیده شد و در فضای آنلاین منتشر شد و این فایل‌ها نشان می‌داد که تیم هک نیز در حال فعالیت روی یک حمله UEFI بوده است که می‌تواند مدل‌های Asus X550C و Dell Latitude E6320 را از طریق درایو USB آلوده کند.
 
این آزمایشگاه در ادامه افزود «البته که نمی‌توان دیگر احتمالات از راه دور از جمله یک مکانیسم به روزرسانی دستکاری شده را نادیده گرفت. در این حالت معمولا از نقاط ضعف موجود در فرایند تایید بروزرسانی BIOS استفاده می‌شود. با اینکه ممکن است حمله از این طریق صورت گرفته باشد اما شواهدی برای پشتیبانی از این ادعا در اختیار نداریم». این آزمایشگاه در ادامه افزود که قربانی باید سفت افزار مادربورد خود را به نسخه‌ای معتبر بروزرسانی کند.
 
این دومین باری است که محققان از بدافزاری براساس UEFI خبر داده است. فروشنده آنتی ویروس دیگری به نام ESET نیز در سال ۲۰۱۸ از بدافزاری دیگری براساس UEFI خبر داد که در آن زمان احتمال داده می‌شد از سوی هکر‌های وابسته به دولت روسیه منتشر شده باشد.
 
آزمایشگاه کسپراسکای این بدافزار را به لطف اسکنر سفت‌افزار این شرکت که از سال پیش عملیاتی شده است شناسایی کرد. این شرکت دریافته است که مجرمان از طریق ایمیل‌های فیشینگ با قربانیان ارتباط برقرار کرده‌اند. اما با این وجود در هیچکدام از این ایمیل‌ها نشانی از حمله به UEFI وجود ندارد. در واقع هنوز مشخص نیست که این بدافزار چگونه وارد دستگاه قربانیان شده است.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.