کشف بدافزار UEFI در سفتافزار مادربرد گیگابایت و ایسوس H81
کشف بدافزار UEFI در سفتافزار مادربرد گیگابایت و ایسوس H81
ین بدافزار، شکلی از روتکیت است که حتی پس از آنکه هارد درایو یا SSD دستگاه میزبان پاک شده یا تعویض شود، همچنان باقی میماند.
به گزارش نیوزلن به نقل از پیسیگیمر، مهندسان شرکت کسپرسکی آن را CosmicStrand نامیدهاند. گزارش شده است که این بدافزار تکاملیافتهای از یک بدافزار قبلی به نام تروجان Spy Shadow است که نخستین بار در سال 2016 کشف شده بود.
این محققان بدافزار CosmicStrand را در سفتافزار(فیرمویر) مادربردهای ایسوس و گیگابایت یافتند.
سیستمهای آلودهشده مادربردها را بر روی چیپست H81 اجرا میکردند، که خیلی قدیمی است. یک مهاجم همچنین ممکن است نیاز به دسترسی به سیستم داشته باشد یا نیاز به نصب به بدافزار متفاوت برای آپدیت یا پچ کردن فیرمور به منظور تزریق بدافزار CosmicStrand داشته باشد. از این رو وقتی این مطلب را میخوانید فکر نکنید که سیستمهای ایسوس یا گیگابایت در تمام این سالها ناامن بودهاند یا اینکه سیستم شما دستکاری شده است.
تا زمانی که تحقیقات بیشتری انجام شود این احتمال باقی میماند که CosmicStrand تنها میتواند از یک آسیبپذیری H81 UEFI احتمالی بهرهبرداری کند.
این بدافزار یک سری از قلابها را ایجاد میکند که امکان دسترسی به کرنل ویندوز را فراهم میآورد، و نهایتاً باعث میشود که سیستم عامل آلوده شده پیلودی را بازیابی کند که بر روی ماشین قربانی اجرا خواهد شد.
مهندسان کسپسکی قادر به بازیابی خود این پیلود نشدهاند، ولی بر این باورند که این بدافزار الگوهای کد مشترکی با یک گروه چینی مسئول باتنت ماینینگ رمزارز MyKings دارد.
چنین بدافزارهایی معمولاٌ اسکامباگهایی هستند که برای سرقت پول، یا پول در آوردن تلاش میکنند.
UEFI، یا رابط توسعهپذیر سفتافزاری یکپارچه، تقریباٌ شبیه یک سیستم عامل کوچک است.
UEFI رابطی بین سختافزار و نرمافزار سیستم است، بدین معنا که بر سیستم عامل و تمام نرمافزار سیستم تاثیر میگذارد.
UEFI معمولاٌ امن است و نیاز به دانش کد ویژهای دارد، از اینرو تهدیدات شناخته شده بسیار معدودی درباره UEFI وجود دارد.
در گزارش کسپرسکی آماده است که: «روتکیتهای متعدد کشف شده تاکنون شاهدی بر وجود یک نقطه کور در صنعت ما هستند که باید هر چه زودتر برایشان چارهجویی شود.»