شناسایی بدافزاری که پس از حذف هم سیستم شما را آلوده می‌کند!

در اين راستا طبق اطلاعات مرکز ماهر (مديريت امداد و هماهنگي رخدادهاي رايانه‌اي)، محققان تيم کسپرسکاي يک ‫بدافزار مبتني‌بر UEFI را کشف کرده‌اند که براي هدف قرار دادن نهادهاي ديپلماتيک در آسيا، آفريقا و اروپا ساخته شده است. ميان‌افزار UEFI يک مولفه اساسي براي هر کامپيوتر است. اين ميان‌افزار مهم در داخل يک حافظه فلش به مادربرد متصل مي‌شود و تمام اجزاي سخت‌افزاري کامپيوتر را کنترل مي‌کند و به بوت سيستم‌عامل نهايي (ويندوز، لينوکس، macOS و موارد مشابه) که کاربر با آن تعامل دارد، کمک مي‌کند.

حمله به ميان‌افزارها براي هر گروه هکري بسيار ارزشمند است. اگر کدهاي آلوده بتوانند در ميان‌افزار قرار بگيرند، حتي پس از حذف و نصب مجدد سيستم‌عامل، سيستم همچنان آلوده خواهد بود. با اين حال، با وجود اين مزايا، حملات به ميان‌افزارها نادر هستند؛ چرا که حمله‌کنندگان يا بايد دسترسي فيزيکي به دستگاه داشته باشند و يا اهداف خود را از طريق حملات زنجيره‌اي پيچيده آلوده کنند. در واقع اين بدافزار، دومين بدافزاري است که به‌صورت گسترده ميان‌افزار UEFI را هدف قرار داده است. اولين بدافزار، يک بدافزار روسي بود که در سال ۲۰۱۸ توسط ESET شناسايي شد.

تيم کسپرسکاي مدعي است که اين حمله را از طريق ماژول اسکنر ميان‌افزار کسپرسکي شناسايي کرده است. کد آلوده موجود در ميان‌افزار به نوعي طراحي شده است تا بتواند هر بار که کامپيوتر آلوده کار خود را شروع مي‌کند، برنامه خودکار مخرب را نصب کند. اين برنامه خودکار اوليه به عنوان يک ابزار دانلود عمل کرده و مولفه‌هاي ديگر بدافزار را دانلود مي‌کند. کسپرسکاي اين مولفه‌ها را MosaicRegressor نام‌گذاري کرده است. محققان تيم کسپرسکاي هنوز نتوانستند به‌طور کامل MosaicRegressor را تحليل کنند.

اين محققان گفتند با وجود اينکه بوتکيت UEFI را تنها در دو سيستم يافته‌اند اما MosaicRegressor در تعداد زيادي سيستم ديده شده است. کسپرسکاي ضمن تجزيه و تحليل اين حملات دريافته است که کد مخرب UEFI مبتني بر VectorEDK است که يک ابزار هک براي حمله به ميان‌افزار UEFI است و VectorEDK به‌نوعي طراحي شده که براي اجرا نيازمند دسترسي فيزيکي دارد.

مديران سيستم‌ها و مديران شبکه سازمان‌هاي دولتي براي حفاظت از سيستم‌هاي خود لازم است، موارد امنيتي را مد نظر داشته باشند. با توجه به اينکه امکان آلوده کردن UEFI در صورت دسترسي فيزيکي به سيستم بيشتر مي‌شود، بنابراين اولا کامپيوترها (به‌ويژه در مراکز حساسي مثل تاسيسات هسته‌اي) از مبادي امن تهيه شوند. ثانيا از قرار گرفتن آن‌ها در اختيار افراد نامطمئن (با هدف تعمير و ارتقا) جدا پرهيز شود. همچنين لازم است ميان‌افزار UEFI سيستم همواره به‌روزرساني شود.