کسپرسکی: مادربردهای ایسوس و گیگابایت در ایران سال‌ها به بدافزار آلوده بوده

محققان شرکت امنیتی بزرگ کسپرسکی از آلوده شدن  چندساله بایوس مادربردهای گیگابایت و ایسوس به یک بدافزار غیر قابل‌ پاک شدن خبر دادند، این بدافزار که سال‌ها پنهان‌بوده است  رایانه های ایرانی را هم آلوده‌ کرده .
این هفته شرکت امنیتی‌ روسی کسپرسکی (Kaspersky) با منتشر کردن گزارشی  از پرده‌ وجود یک بدافزار به نشانی CosmicStrand برداشت‌ که در بایوس یا به صورت دقیق‌ فِرم‌ور UEFI مادربردها پنهان می‌شوند . بدافزارهای UEFI پاره ای از تهدیدهای ادامه‌دار (Presist) هستند‌ که بر روی کامپیوتر  قربانی‌ می مانند .

بدافزار CosmicStrand در کامپیوترهای کشور هایی نیز ایران،روسیه،ویتنام و چین را آلوده کرده .

 بدافزاری  جدید‌ که به صورت دقیق روت کیت (Rootkit) می باشد ، بر روی شماری مادربردهای درست کردن ایسوس و گیگابایت شناسایی‌ شده‌ . این مادربردها بر اساس چیپست های قدیمی‌ H81 هست که به صورت وسیع در کل دنیا پیدا می‌شود و سال‌ها از ارائه آنها می‌گذرد . طبق گفته کسپرسکی حمله‌ کننده‌ها پیروز شدن حفره‌ای امنیتی‌ در بایوس مادربردهای گیگابایت و ایسوس بیابند و بدافزار های خود‌ را به تراشه‌ نگهداری BIOS ها تزریق‌ کنند .

همچنین محققان گفته اند که ممکن است مجرم های سایبری به مادربرد ها دسترسی فیزیکی داشته باشند،  و اقدام‌ به نصب  کردن(Firmware) آن ها را آلوده کردند . از همین رو حدس های دیگری چون‌ ارائه مادربرد از پیش‌ آلوده‌ شده هم به بدافزار وجود دارد‌ .

از آنجایی که فرم‌ور UEFI بر روی یک تراشه بر روی مادربرد مراقبت می کنند  و با هر بار روشن کردن کامپیوتر بارگذاری و اجرا می‌شوند، حذف بدافزار CosmicStrand نسبت به سایر بدافزارهای‌دیگه دشوار تر می باشد . همچنین شناسایی بدافزارهای ساکن این  تراشه BIOS کار راحتی نمی باشد و حتی دسترسی‌هایی را  به هکرها صادر می کند که بعداً بتوانند کامپیوتر های قربانیان را به بدافزارهای بیشتری آلوده نمایند.

هنگامی که بدافزار CosmicStrand کامپیوتر کاربری ‌ را آلوده‌ می نماید ، در زمان‌ روشن کردن  سیستم‌ ها و قبل از بارگذاری سیستم‌ عامل ، شروع  به دست‌کاری کردن  آن ها  می‌کنند‌ تا در نهایت بتوانند بدافزار  کُدهای آسیب‌زا را وارد سیستم ها کنند  . به صراحت این‌گونه حملات خیلی سخت  و مستلزم است که دارای دانش و اطلاعات فنی زیادی هستند؛ از همین رو حدس  زده می شود که با یک تیم  هکری وابسته به حکومت روبه رو هستیم .

اگر چه که کسپرسکی نتوانسته است  هکرها را شناسایی نماید، اما گفته است که  شاید  با یک تیم  هکر های چینی روبرو می باشیم که دست‌کم از ابزارها و منابع هایی استفاده کرده‌اند که در میان هکرهای چینی بسیار مرسوم می باشد. جالب‌تر از آن  اینکه کسپرسکی می‌گوید بدافزار CosmicStrand فقط  بر روی کامپیوترهایی که  کاربرانِ نسخه رایگان آنتی ویروس این کمپانی را دارند شناسایی شده است و به نظر میاد که  قربانیان اغلب از کاربران عادی یا خانگی می باشد.

مورد دیگر این که در این کُد منبع‌ بدافزار CosmicStrand مدل های شبیه بهم زیادی دارد که با یک بدافزار گزارش‌ شده‌ در سال ۲۰۲۰ میلادی وجود دارد‌ . بدافزاری که ذکر شده از تیم MyKings می باشد که اقدام‌ به آلوده‌ کردن‌ کامپیوتر های کاربران‌ به ماینر یا پیدا کردن پسورد ها و پول ها می‌کرد.

تاریخ  آخرین  بروزرسانیBIOS  یکی از مادربردهای H81 ایسوس

شناسایی‌ نمودن این بدافزار ها دو پیام‌ آشکار را با خود دارد . اول اینکه ثابت‌ می‌کند‌ بدافزارهای ساکن BIOS واقعی‌ می باشند و احتمالاً موردهای خیلی زیادی وجود دارد‌ که شناسایی‌ نشدند. منتها پیام‌ دیگر آن وجود حفره‌ امنیتی‌ بالقوه‌ پرخطری ، دست‌کم‌ در بایوس مادربردهای ساخت‌ ایسوس و گیگابایت است‌ که برای سال‌های طولانی وجود داشته و اقدام‌ به برطرف کردن آن ها نکرده‌اند .

منبع:shahrsakhtafzar