کشف بدافزاری که مادربرد شما را آلوده میکند و حذف آن تقریباً غیرممکن است
هکرهای چینی از سال ۲۰۱۶ تاکنون، با استفاده از بدافزاری به نام CosmicStrand به سیستمهای زیادی نفود کردهاند. این ابزار پس از توزیع کد مخرب خود در فایل ISO برخی مادربردها، شناساییشدنی نیست. درواقع، بدافزار یادشده با بهرهگرفتن از روشی خاص فایلهای ISO سختافزار را بهعنوان روتکیت رابط سختافزار یکپارچهی توسعهپذیر (UEFI) هدف قرار میدهد. گفتنی است روتکیت به مجموعهای از نرمافزارها اشاره میکند که کنترل سیستم کامپیوتری را بهدست میگیرند.
نام CosmicStrand را محققان امنیتی شرکت Kaspersky برای این بدافزار انتخاب کردهاند؛ بااینحال، تحلیلگران Qihoo360 نسخهی قبلی این ابزار را شناسایی و از آن با عنوان Spy Shadow Trojan یاد کردهاند.
UFEI برنامهی مهمی است که سیستمعامل را به سختافزار متصل میکند. بدینترتیب کد UEFI هنگام راهاندازی اولیهی کامپیوتر، حتی قبل از هرگونه اقدام امنیتی روی سیستم اجرا میشود و درنتیجه، بدافزارهایی که به این بخش نفوذ میکنند، بهسختی شناساییشدنی خواهند بود.
بااینحال، نکتهی نگرانکنندهتر این است که بدافزار مذکور با نصب مجدد سیستمعامل نیز پاک نمیشود. درواقع، شما حتی نمیتوانید با تعویض درایو ذخیرهسازی از دست CosmicStrand خلاص شوید. مارک لچتیک که قبلاً در بخش مهندسی معکوس Kaspersky کار میکرد، دربارهی CosmicStrand گفت: «این بدافزار بهگونهای اصلاح شده است تا توالی بوت کامپیوتر را رهگیری و منطق مخرب را به آن معرفی کند.»
Kaspersky میگوید روتکیت CosmicStrand UEFI در فایلهای ISO مادربردهای گیگابایت یا ایسوس که از تراشههای H81 بهره میبرند، کشف شده است؛ بدینترتیب سختافزارهای فروخته شده بین سالهای ۲۰۱۳ تا ۲۰۱۵ تحت تأثیر این بدافزار قرار دارند. بهگزارش DigitalTrends، قربانیان CosmicStrand افرادی عادی در کشورهای چین و ویتنام و روسیه بودند؛ بنابراین، نمیتوان این بدافزار را با دولتها یا سازمانها مرتبط دانست. بااینحال، محققان با بررسی الگوهای کد، پیوند میان این ابزار با عامل تهدید چینیزبان را تأیید کردهاند که در باتنت مجزای رمزنگاری دیده شده است.
Kaspersky تأکید کرد که روتکیت CosmicStrand UEFI میتواند برای همیشه روی سیستم آلوده باقی بماند. سال ۲۰۱۸، شرکت امنیتی ESET اولین گزارش دربارهی این بدافزار را منتشر کرد. این ابزار در آن زمان به LoJax معروف بود و هکرهای روسی مرتبط با گروه APT28 از آن استفاده میکردند. از آن زمان، تعداد سیستمهای آلوده به روتکیتهای مبتنیبر UEFI بهطورپیوسته در حال افزایش است که ازجمله میتوان به ESPecter اشاره کرد؛ کیتی که گفته میشود از سال ۲۰۱۲ برای اهداف جاسوسی استفاده شده است.
در سال جاری، فعالیت گروههای هکری که از بدافزارها استفاده میکنند، بسیار زیاد بوده است. بهعنوان مثال، هکرها اخیراً موفق شدهاند با استفاده از برنامهی ماشینحساب مایکروسافت، کدهای مخرب مدنظر خود را روی سیستمهای قربانیان اجرا کنند.