پژوهشگرهای کمپانی امنیتی کسپرسکی (Kaspersky) خبر از کشف یک بدافزار جدید دادهاند که از نظر پیچیدگی در نوع خود کم نظیر است. این بدافزار جدید که MosaicRegressor نام گرفته، UEFI Firmware یا همان بایوس مادربردها را آلوده میکند و شناسایی و پاکسازی آن بسیار دشوار است. در ادامه با بدافزار بسیار خطرناک MosaicRegressor آشنا شوید.
طبق اعلام کسپرسکی، MosaicRegressor دومین بدافزار UEFI شناسایی شده تا به امروز است. این بدافزار بر روی کامپیوترهای مورد استفاده یک سازمان مردمنهاد و برخی دیپلماتها در آسیا شناسایی شده است. این بدافزار در فیرم ویر UEFI پنهان میشود و از همین طریق قادر است فایلهای آلوده را به محیط سیستم عامل تزریق کند.
UEFI یا Unified Extensible Firmware Interface یک نرم افزار نهفته در مادربردهای سیستمها و لپ تاپهای امروزی است که جایگزین BIOS شده است. UEFI در کنار فراهم سازی شرایط برای اجرای سیستم عامل و شروع به کار اجزای مختلف سیستم عامل، برخی قابلیتها و تنظیمات را هم در اختیار کاربر میگذارد. آنچه که درباره UEFI نگران کننده شده، این نرم افزار با وجود امنیت بالاتر نسبت به BIOS به هدف هکرها و سازندگان بدافزارهای پیچیده تبدیل شده است.
UEFI در سطح بسیار پایین با سیستم عامل و سخت افزارهای سیستم تعامل میکند، بنابراین با آلوده کردن آن میتوان دسترسیهای استثنایی به دست آورد. برای نمونه میتوان با هر بار راه اندازی سیستم بدافزارهای دلخواه را به سیستم عامل تزریق کرد یا امکان پاکسازی بدافزارها را از آنتی ویروسها گرفت. همچنین با دسترسی داشتن به UEFI میتوان به سرقت اطلاعات و کنترل سیستم قربانی دست زد. به وضوح بدافزارهای UEFI بسیار پیچیده و در عین حال به شدت نگران کننده هستند.
کسپرسکی میگوید آنها متوجه وجود ماژولهای غیرعادی در UEFI دست کم دو سیستم متعلق به یک سازمان مردم نهاد در آسیا و دیپلماتها شدهاند که در نهایت به شناسایی بدافزار MosaicRegressor انجامیده است. این ماژولها باعث تزریق بدافزار به سیستم عامل میشوند و با هر بار راه اندازی سیستم، از آلوده بودن سیستم به بدافزار دلخواه سازنده آن اطمینان حاصل میکند. در این بدافزار برخی از کامپوننت های منتصب به Hacking Team یافت شده است.
علی رغم اینکه محققان کسپرسکی توانستهاند بسیاری از رفتارهای پیچیده بدافزار MosaicRegressor را شناسایی کنند، اما متأسفانه هنوز آنها نمیدانند آلوده شدن به این بدافزار چگونه رخ میدهد. محتملترین نظریه آنها دسترسی فیزیکی حمله کنندهها به سیستمها و آلوده کردن UEFI سیستم است. آنها بر روی یکی از سیستمهای آلوده به بدافزار MosaicRegressor برنامه Q-flash را یافتهاند که میتواند نشان از آلوده کردن سیستم از طریق نصب نسخه دستکاریشده UEFI باشد.
جالب اینکه مشخص شده MosaicRegressor از چندین مکانیزم مختلف برای دانلود و پیاده سازی بدافزارهای مورد نظر سازنده آن از طریق شبکه و اینترنت بهره میگیرد که آن را به یک تهدید بزرگ تبدیل میکند. این بدافزار قادر است بدافزارهای بیشتری را دانلود و نصب کند که میتواند برای سرقت اطلاعات و حتی انجام حملات دیگر مورد استفاده قرار بگیرد.
بررسیهای تکمیلی کسپرسکی نشان داده شمار قابل توجهی از دیپلماتهای مرتبط با سازمانهای مردم نهاد در آفریقا، آسیا و اروپا در خلال سالهای 2017 تا 2019 مورد هدف بدافزار MosaicRegressor قرار گرفتهاند. به طور دقیقتر این بدافزار افرادی را هدف گرفته که فعالیتهای آنها عمدتاً پیرامون موضوعات مرتبط با کره شمالی بوده است.
جالب اینکه کسپرسکی میگوید شواهد بسیار پیچیده به دست آمده نشان میدهد سازندگان بدافزار MosaicRegressor چینی زبان هستند. به گفته کسپرسکی محصولات امنیتی این کمپانی قادر به شناسایی بدافزارهای UEFI هستند.
نظر خود را اضافه کنید.
برای ارسال نظر وارد شوید
ارسال نظر بدون عضویت در سایت