برای سال‌ها، برخی از مادربردهای گیگابایت و ایسوس دارای بدافزار UEFI بودند

محققان کسپرسکی نگران هستند که CosmicStrand یکی از بسیاری از روت‌کیت‌های فریم‌افزاری باشد که توانسته سال‌ها پنهان بماند. آن‌ها خاطرنشان می‌کنند که «روت‌کیت‌های متعددی که تاکنون کشف شده‌اند، نشان دهنده نقطه کوری در صنعت ما هستند که باید زودتر برطرف شود.»



منبع

از آنجا، مهاجمان می توانند هوک دیگری را به شکل تابعی در هسته ویندوز نصب کنند که در فرآیند بوت بعدی فراخوانی می شود. این تابع یک کد پوسته را در حافظه مستقر می کند که می تواند با یک سرور فرمان و کنترل تماس گرفته و بدافزار اضافی را در رایانه شخصی آلوده دانلود کند.

در مورد CosmicStrand، این یک بدافزار بسیار قوی است که اندازه آن کمتر از 100 کیلوبایت است. اطلاعات زیادی در مورد چگونگی پایان یافتن آن بر روی سیستم های هدف مشخص نیست، اما روش کار آن ساده است. ابتدا، فرآیند بوت را با تنظیم به اصطلاح “قلاب” در نقاط خاصی از جریان اجرا آلوده می کند، بنابراین عملکردی را که مهاجم برای اصلاح بارگذار هسته ویندوز قبل از اجرا نیاز دارد، اضافه می کند.

به سادگی پاک کردن فضای ذخیره سازی در رایانه شما عفونت را از بین نمی برد، و همچنین جایگزینی دستگاه های ذخیره سازی به طور کلی نمی شود. UEFI در اصل یک سیستم عامل کوچک است که در داخل یک تراشه حافظه غیر فرار، که معمولاً روی مادربرد لحیم شده است، زندگی می کند. این به این معنی است که حذف CosmicStrand به ابزارهای خاصی برای تصویربرداری مجدد از تراشه فلش در حالی که رایانه شخصی خاموش است نیاز دارد. هر چیز دیگری کامپیوتر شما را در حالت آلوده رها می کند.

بخونید:  Microsoft finds critical vulnerabilities in equipment that could be used to shut down power plants

محققان توضیح می‌دهند که این روت‌کیت در تصاویر سفت‌افزار چندین مادربرد ایسوس و گیگابایت مجهز به چیپ‌ست H81 اینتل، یکی از طولانی‌ترین چیپ‌ست‌های دوران Haswell که در نهایت در سال 2020 متوقف شد، کشف شد.

در سال 2017، شرکت امنیتی Qihoo360 چیزی را کشف کرد که می‌توانست نوع اولیه CosmicStrand باشد. در سال‌های اخیر، محققان روت‌کیت‌های اضافی UEFI مانند MosaicRegressor، FinSpy، ESpecter و MoonBounce را پیدا کردند.

در متن: شرکت امنیتی ESET اولین روت کیت UEFI را کشف کرد که در سال 2018 در طبیعت مورد استفاده قرار گرفته بود. این نوع تهدید مداوم موضوع بحث های نظری در بین محققان امنیتی بود، اما در سال های گذشته، مشخص شده است که بسیار بیشتر است. شایع تر از آنچه قبلا تصور می شد، علیرغم اینکه توسعه آن نسبتاً سخت است.

این هفته، محققان کسپرسکی یک روت کیت سفت‌افزار جدید با نام «CosmicStrand» را معرفی کردند که گمان می‌رود کار گروه ناشناخته‌ای از عوامل مخرب چینی باشد.

CosmicStrand همچنین می‌تواند حفاظت‌های هسته مانند PatchGuard (معروف به Microsoft Kernel Patch Protection) را غیرفعال کند که یک ویژگی امنیتی حیاتی ویندوز است. همچنین شباهت هایی از نظر الگوهای کد بین CosmicStrand و بدافزار مربوط به بات نت MyKings وجود دارد که برای استقرار cryptominers در رایانه های قربانیان استفاده شده است.

تا کنون، به نظر می رسد تنها سیستم های ویندوز در کشورهایی مانند روسیه، چین، ایران و ویتنام به خطر افتاده است. با این حال، ایمپلنت UEFI از اواخر سال 2016 در طبیعت مورد استفاده قرار گرفته است، که این احتمال را افزایش می دهد که این نوع عفونت شایع تر از آنچه قبلاً تصور می شد وجود داشته باشد.

بخونید:  Google is removing the Chrome browser from ChromeOS

از آنجایی که سیستم عامل UEFI اولین کدی است که هنگام روشن کردن رایانه اجرا می شود، حذف CosmicStrand در مقایسه با انواع دیگر بدافزارها بسیار سخت است. شناسایی روت‌کیت‌های میان‌افزار نیز سخت‌تر است و راه را برای هکرها برای نصب بدافزارهای اضافی بر روی یک سیستم هدف هموار می‌کند.