ايتنا - کشف بدافزار UEFI در سفت‌افزار مادربرد گیگابایت و ایسوس H81

پژوهشگران در شرکت امنیت سایبری کسپرسکی به‌تازگی شکل جدیدی از بدافزار را کشف کرده‌اند که مقیم UEFI مادربرد می‌شود.
ین بدافزار، شکلی از روت‌کیت است که حتی پس از آنکه هارد درایو یا SSD دستگاه میزبان پاک شده یا تعویض شود، همچنان باقی می‌ماند.

به گزارش ایتنا به نقل از پی‌سی‌گیمر، مهندسان شرکت کسپرسکی آن را CosmicStrand نامیده‌اند. گزارش شده است که این بدافزار تکامل‌یافته‌ای از یک بدافزار قبلی به نام تروجان Spy Shadow است که نخستین بار در سال 2016 کشف شده بود.
این محققان بدافزار CosmicStrand را در سفت‌افزار(فیرم‌ویر) مادربردهای ایسوس و گیگابایت یافتند.

سیستم‌های آلوده‌شده مادربردها را بر روی چیپ‌ست H81 اجرا می‌کردند، که خیلی قدیمی است. یک مهاجم همچنین ممکن است نیاز به دسترسی به سیستم داشته باشد یا نیاز به نصب به بدافزار متفاوت برای آپدیت یا پچ کردن فیرم‌ور به منظور تزریق بدافزار CosmicStrand داشته باشد. از این رو وقتی این مطلب را می‌خوانید فکر نکنید که سیستم‌های ایسوس یا گیگابایت در تمام این سال‌ها ناامن بوده‌اند یا اینکه سیستم شما دستکاری شده است.
تا زمانی که تحقیقات بیشتری انجام شود این احتمال باقی می‌ماند که CosmicStrand تنها می‌تواند از یک آسیب‌پذیری H81 UEFI احتمالی بهره‌برداری کند.

این بدافزار یک سری از قلاب‌ها را ایجاد می‌کند که امکان دسترسی به کرنل ویندوز را فراهم می‌آورد، و نهایتاً باعث می‌شود که سیستم عامل آلوده شده پیلودی را بازیابی کند که بر روی ماشین قربانی اجرا خواهد شد.
مهندسان کسپسکی قادر به بازیابی خود این پیلود نشده‌اند، ولی بر این باورند که این بدافزار الگوهای کد مشترکی با یک گروه چینی مسئول باتنت ماینینگ رمزارز MyKings دارد.
چنین بدافزارهایی معمولاٌ اسکام‌باگ‌هایی هستند که برای سرقت پول، یا پول در آوردن تلاش می‌کنند.

UEFI، یا رابط توسعه‌پذیر سفت‌افزاری یکپارچه، تقریباٌ شبیه یک سیستم عامل کوچک است.
UEFI رابطی بین سخت‌افزار و نرم‌افزار سیستم است، بدین معنا که بر سیستم عامل و تمام نرم‌افزار سیستم تاثیر می‌گذارد.
UEFI معمولاٌ امن است و نیاز به دانش کد ویژه‌ای دارد، از این‌رو تهدیدات شناخته شده بسیار معدودی درباره UEFI وجود دارد.

در گزارش کسپرسکی آماده است که: «روتکیت‌های متعدد کشف شده تاکنون شاهدی بر وجود یک نقطه کور در صنعت ما هستند که باید هر چه زودتر برایشان چاره‌جویی شود.»