کسپرسکی: مادربردهای ایسوس و گیگابایت در ایران سالها به بدافزار آلوده بودهاند
پژوهشگرهای امنیتی یک کمپانی امنیتی بزرگ خبر از آلودگی چندساله بایوس مادربردهای گیگابایت و ایسوس به یک بدافزار غیر قابل حذف دادند. این بدافزار که سالها پنهان مانده، کامپیوترهای ایرانی را هم آلوده کرده است. جزئیات بیشتر درباره بدافزار خطرناک CosmicStrand را در شهر سخت افزار بخوانید.
این هفته کمپانی امنیتی روسی کسپرسکی (Kaspersky) با انتشار گزارشی پرده از وجود یک بدافزار به نام CosmicStrand داده که در بایوس یا به طور دقیق فِرمور UEFI مادربردها پنهان میشود. بدافزارهای UEFI جزء تهدیدهای مستمر (Presist) هستند و بر روی سیستم قربانی باقی میمانند.
آلودگی مادربردهای ایسوس و گیگابایت در ایران به بدافزار CosmicStrand
ایران در بین کشورهای با بیشترین آلودگی به این بدافزار
بدافزار CosmicStrand عمدتاً کامپیوترهایی در ایران، چین، روسیه و ویتنام را آلوده کرده است. تخمین زده میشود این بدافزار از سال 2016 میلادی وجود داشته باشد.
بدافزار جدید که به طور دقیقتر یک روت کیت (Rootkit) است، بر روی برخی مادربردهای ساخت ایسوس و گیگابایت شناسایی شده است. این مادربردها بر پایه چیپست قدیمی H81 هستند که به طور گسترده در سراسر دنیا یافت میشوند و سالها از عرضه آنها میگذرد. به گفته کسپرسکی حمله کنندهها موفق شدهاند حفرهای امنیتی در بایوس مادربردهای گیگابایت و ایسوس بیابند و بدافزار خود را به تراشه نگهداری BIOS تزریق کنند.
همچنین پژوهشگرها میگویند ممکن است مجرمین سایبری به مادربردها دسترسی فیزیکی داشتهاند و اقدام به نصب Firmware آلوده بر روی آنها کرده باشند. از همین رو احتمالهای دیگری چون عرضه مادربردهای از پیش آلوده به بدافزار هم وجود دارد.
از آنجایی که فرمور UEFI بر روی یک تراشه بر روی مادربرد نگهداری میشود و با هر بار روشن کردن کامپیوتر بارگذاری و اجرا میشود، پاک کردن بدافزار CosmicStrand نسبت به بدافزارهای رایج پیچیدهتر است. همچنین شناسایی بدافزارهای مقیم تراشه BIOS کار آسانی نیست و حتی دسترسیهایی به هکرها میدهد که بعداً بتوانند سیستم قربانی را به بدافزارهای بیشتری آلوده کنند.
بدافزار مادربرد ایسوس گیگابایت UEFI
هنگامی که بدافزار CosmicStrand سیستم کاربر را آلوده میکند، در زمان راه اندازی سیستم و پیش از بارگذاری سیستم عامل، اقدام به دستکاری آن میکند تا در نهایت بتواند بدافزار یا کُدهای مخرب را تزریق کند. به وضوح چنین حملاتی بسیار پیچیده و مستلزم داشتن دانش فنی بالایی هستند؛ از همین رو گمان میرود با یک گروه هکری وابسته به حکومتها روبرو باشیم.
هرچند کسپرسکی نتوانسته هکرها را شناسایی کند، اما میگوید احتمالاً با یک گروه هکری چینیزبان روبرو هستیم یا دستکم از ابزارها و منابعی استفاده کردهاند که در بین هکرهای چینی شایع است. جالبتر اینکه کسپرسکی میگوید بدافزار CosmicStrand منحصراً بر روی کامپیوترهای مورد استفاده کاربرانِ نسخه رایگان آنتی ویروس این کمپانی شناسایی شده است و به نظر میرسد قربانیان اغلب از کاربران معمولی یا خانگی باشند.
همچنین در کُد منبع بدافزار CosmicStrand الگوهای مشابهی با یک بدافزار گزارش شده در سال 2020 میلادی وجود دارد. بدافزار مزبور از گروه MyKings است و اقدام به آلوده کردن سیستم کاربران به ماینر یا استخراج کننده رمز ارزها میکرد.
منبع