یک بدافزار مبتنیبر UEFI میتواند به مادربرد متصل شود و تمام اجزای سختافزاری کامپیوتر را کنترل کند و حتی پس از حذف و نصب مجدد سیستمعامل، سیستم همچنان آلوده خواهد بود.
منبع : مرکز ماهر
یک بدافزار مبتنیبر UEFI میتواند به مادربرد متصل شود و تمام اجزای سختافزاری کامپیوتر را کنترل کند و حتی پس از حذف و نصب مجدد سیستمعامل، سیستم همچنان آلوده خواهد بود.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بدافزارها و نرمافزارهای مخرب در هریک از فروشگاههای آنلاین یافت میشوند؛ بسیاری از برنامههایی که تحت عناوین مختلف برای سیستم عامل اندروید منتشر میشوند از روی برنامههای منبعباز ساخته شدهاند. بسیاری از این برنامهها صرفاً با تغییر نام و آیکون بهعنوان برنامههای گوناگون و با هدف استفاده از سرویسهای تبلیغاتی داخل این برنامهها و درآمدزایی برای منتشرکننده برنامه، تولید میشوند.
محققان تیم کسپرسکی یک بدافزار مبتنیبر UEFI را کشف کردهاند که برای هدف قرار دادن نهادهای دیپلماتیک در آسیا، آفریقا و اروپا ساخته شده است. میانافزار UEFI یک مولفه اساسی برای هر کامپیوتر است. این میانافزار مهم در داخل یک حافظه فلش به مادربرد متصل میشود و تمام اجزای سختافزاری کامپیوتر را کنترل میکند و به بوت سیستمعامل نهایی (ویندوز، لینوکس، macOS و موارد مشابه) که کاربر با آن تعامل دارد، کمک میکند.
حمله به میانافزارها برای هر گروه هکری بسیار ارزشمند است. اگر کدهای آلوده بتوانند در میانافزار قرار بگیرند، حتی پس از حذف و نصب مجدد سیستمعامل، سیستم همچنان آلوده خواهد بود. با این حال، با وجود این مزایا، حملات به میانافزارها نادر هستند؛ چرا که حملهکنندگان یا باید دسترسی فیزیکی به دستگاه داشته باشند و یا اهداف خود را از طریق حملات زنجیرهای پیچیده آلوده کنند. در واقع این بدافزار، دومین بدافزاری است که بهصورت گسترده میانافزار UEFI را هدف قرار داده است. اولین بدافزار، یک بدافزار روسی بود که در سال ۲۰۱۸ توسط ESET شناسایی شد.
تیم کسپرسکی مدعی است که این حمله را از طریق ماژول اسکنر میانافزار کسپرسکی شناسایی کرده است. کد آلوده موجود در میانافزار به نوعی طراحی شده است تا بتواند هر بار که کامپیوتر آلوده کار خود را شروع میکند، برنامه خودکار مخرب را نصب کند. این برنامه خودکار اولیه به عنوان یک ابزار دانلود عمل کرده و مولفههای دیگر بدافزار را دانلود میکند. کسپرسکی این مولفهها را MosaicRegressor نامگذاری کرده است. محققان تیم کسپرسکی هنوز نتوانستند بهطور کامل MosaicRegressor را تحلیل کنند.
این محققان گفتند با وجود اینکه بوتکیت UEFI را تنها در دو سیستم یافتهاند اما MosaicRegressor در تعداد زیادی سیستم دیده شده است. کسپرسکی ضمن تجزیهوتحلیل این حملات دریافته است که کد مخرب UEFI مبتنی بر VectorEDK است که یک ابزار هک برای حمله به میانافزار UEFI است و VectorEDK بهنوعی طراحی شده که برای اجرا نیازمند دسترسی فیزیکی دارد.
مدیران سیستمها و مدیران شبکه سازمانهای دولتی برای حفاظت از سیستمهای خود لازم است، موارد امنیتی را مدنظر داشته باشند. با توجه به اینکه امکان آلوده کردن UEFI در صورت دسترسی فیزیکی به سیستم بیشتر میشود، بنابراین اولا کامپیوترها (بهویژه در مراکز حساسی مثل تاسیسات هستهای) از مبادی امن تهیه شوند. ثانیا از قرار گرفتن آنها در اختیار افراد نامطمئن (با هدف تعمیر و ارتقا) جدا پرهیز شود. همچنین لازم است میانافزار UEFI سیستم همواره بهروزرسانی شود.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بدافزارها و نرمافزارهای مخرب در هریک از فروشگاههای آنلاین یافت میشوند؛ بسیاری از برنامههایی که تحت عناوین مختلف برای سیستم عامل اندروید منتشر میشوند از روی برنامههای منبعباز ساخته شدهاند. بسیاری از این برنامهها صرفاً با تغییر نام و آیکون بهعنوان برنامههای گوناگون و با هدف استفاده از سرویسهای تبلیغاتی داخل این برنامهها و درآمدزایی برای منتشرکننده برنامه، تولید میشوند.
محققان تیم کسپرسکی یک بدافزار مبتنیبر UEFI را کشف کردهاند که برای هدف قرار دادن نهادهای دیپلماتیک در آسیا، آفریقا و اروپا ساخته شده است. میانافزار UEFI یک مولفه اساسی برای هر کامپیوتر است. این میانافزار مهم در داخل یک حافظه فلش به مادربرد متصل میشود و تمام اجزای سختافزاری کامپیوتر را کنترل میکند و به بوت سیستمعامل نهایی (ویندوز، لینوکس، macOS و موارد مشابه) که کاربر با آن تعامل دارد، کمک میکند.
حمله به میانافزارها برای هر گروه هکری بسیار ارزشمند است. اگر کدهای آلوده بتوانند در میانافزار قرار بگیرند، حتی پس از حذف و نصب مجدد سیستمعامل، سیستم همچنان آلوده خواهد بود. با این حال، با وجود این مزایا، حملات به میانافزارها نادر هستند؛ چرا که حملهکنندگان یا باید دسترسی فیزیکی به دستگاه داشته باشند و یا اهداف خود را از طریق حملات زنجیرهای پیچیده آلوده کنند. در واقع این بدافزار، دومین بدافزاری است که بهصورت گسترده میانافزار UEFI را هدف قرار داده است. اولین بدافزار، یک بدافزار روسی بود که در سال ۲۰۱۸ توسط ESET شناسایی شد.
تیم کسپرسکی مدعی است که این حمله را از طریق ماژول اسکنر میانافزار کسپرسکی شناسایی کرده است. کد آلوده موجود در میانافزار به نوعی طراحی شده است تا بتواند هر بار که کامپیوتر آلوده کار خود را شروع میکند، برنامه خودکار مخرب را نصب کند. این برنامه خودکار اولیه به عنوان یک ابزار دانلود عمل کرده و مولفههای دیگر بدافزار را دانلود میکند. کسپرسکی این مولفهها را MosaicRegressor نامگذاری کرده است. محققان تیم کسپرسکی هنوز نتوانستند بهطور کامل MosaicRegressor را تحلیل کنند.
این محققان گفتند با وجود اینکه بوتکیت UEFI را تنها در دو سیستم یافتهاند اما MosaicRegressor در تعداد زیادی سیستم دیده شده است. کسپرسکی ضمن تجزیهوتحلیل این حملات دریافته است که کد مخرب UEFI مبتنی بر VectorEDK است که یک ابزار هک برای حمله به میانافزار UEFI است و VectorEDK بهنوعی طراحی شده که برای اجرا نیازمند دسترسی فیزیکی دارد.
مدیران سیستمها و مدیران شبکه سازمانهای دولتی برای حفاظت از سیستمهای خود لازم است، موارد امنیتی را مدنظر داشته باشند. با توجه به اینکه امکان آلوده کردن UEFI در صورت دسترسی فیزیکی به سیستم بیشتر میشود، بنابراین اولا کامپیوترها (بهویژه در مراکز حساسی مثل تاسیسات هستهای) از مبادی امن تهیه شوند. ثانیا از قرار گرفتن آنها در اختیار افراد نامطمئن (با هدف تعمیر و ارتقا) جدا پرهیز شود. همچنین لازم است میانافزار UEFI سیستم همواره بهروزرسانی شود.
کد مطلب : 17104
https://aftana.ir/vdcc0sqs.2bqmx8laa2.htmlaftana.ir/vdcc0sqs.2bqmx8laa2.html
آخرین عناوین
پربيننده ترين
۱
۲
۳
۴
۵