این ویروس حتی با تعویض ویندوز هم از بین نمی‌رود

گزارش آزمایشگاه کسپرسکای، یکی از شرکت‌های بزرگ امنیت سایبری و ارائه دهنده آنتی ویروس، کشف یک فایل تروجان به نام «IntelUpdate.exe» را تایید می‌کند. یک بدافزار چینی این تروجان را در فولدر Startup ایجاد می‌کند و حتی در صورت مشاهده و حذف، مجددا نصب خواهد شد.

گزارشی که دو روز پیش PCMag منتشر کرده از شناسایی ویروس بسیار جالب و البته مقاومی خبر می‌دهد که می‌تواند همه تفکرات شما در مورد مزاحمان جاسوس رایانه‌ای را عوض کند.

بنا بر این گزارش هکرهای چینی ویروسی جدید را طراحی کرده و در حال گسترش آن هستند که می‌تواند  حتی با نصب مجدد سیستم‌عامل نیز زنده بماند.

این ویروس که موجودیت آن توسط مهندسان آزمایشگاه‌های امنیتی کسپرسکی کشف شده، به صورت کلی برای عملیات جمع‌آوری داده کاربر و ارسال برای منبع یا به عبارت ساده برای جاسوسی از کامپیوترها استفاده می‌شود و برای اینکه از هر نوع عملیات حذف توسط نرم‌افزارهای امنیتی در امان بماند، خود را به UEFI (رابط توسعه‌پذیر سفت‌افزار یکپارچه) سیستم اضافه می‌کند.

اگر از جمله کاربران با تجربه و با اندکی دانش نرم‌افزاری و سیستم‌عامل باشید حتماً می‌دانید که حمله به UEFI می‌تواند به نوبه خود بسیار نگران کننده باشد.

در واقع باید اینطور گفت که UEFI بخشی از BIOS است که از آن برای راه‌اندازی کامپیوتر و بارگذاری (مجدد) سیستم‌عامل استفاده می‌شود. همانطور که می‌دانید خود BIOS ماهیتی سفت‌افزاری دارد و دارای دو بخش سخت‌افزاری و نرم‌افزاری است که برای هر مادربرد به صورت یک تراشه دارای حافظه طراحی شده و وقتی شرکت سازنده مادربرد روی آن نرم‌افزار نصب می‌کند، بخش سخت‌افزاری و روح نرم‌افزاری که درون آن جای گرفته همزمان با هم اقدام به انجام عملیات راه‌اندازی سیستم می‌نمایند.

از آنجایی که این بخش از سیستم جدای از فضای ذخیره‌سازی اصلی (هارد دیسک یا SSD) فعالیت کرده و همانطور که عنوان ماهیت سفت‌افزاری داشته هر فرایند آلوده‌ای که در UEFI قرار گیرد حتی در صورت بازنصب سیستم عامل نیز به کار خود ادامه خواهد داد و از آنتی ویروس‌های سنتی در امان خواهد بود.

به گفته مارک لکتیک از محققان آزمایشگاه کسپرسکای «این حمله با وجود اینکه حمله نادری است اما نشان می‌دهد که مهاجمان در موارد خاص حاضرند تا چه حد برای باقی ماندن در دستگاه قربانی تلاش کنند».

راه حل بسیار خاص که شاید تنها راهکار باشد
آزمایشگاه کسپراسکای می‌گوید «از آنجایی که این فایل خود را از فلش SPI (حافظه SPI برای اجرای BIOS) اجرا می‌کند، هیچ راهی به جز حذف سفت افزار آلوده وجود نخواهد داشت». اما همانطور که باید حدس زده باشید با صرف آلوده شدن به این ویروس همه چیز تمام نمی‌شود؛ در واقع این ویروس بستری فراهم می‌کند که دیگر بدافزارها به رایانه کاربر راه پیدا کنند و بتوان اسناد او را دزدید.

کسپرسکی در بررسی‌های خود به این نتیجه رسیده که عمده هدف بدافزار مورد بحث ما فایل‌هایی خواهند بود که در مسیر «Recent Documents» سیستم کاربر جای گرفته و مشخص است که برای او اهمیت فعلی بیشتری دارند.

البته این تیم تا به این لحظه اطلاعیه‌ای در مورد اهداف و سیستم‌های قربانی بدافزار مورد بحث منتشر نکرده ولی به این موضوع اشاره شده که هکرها به دنبال سیستم‌هایی متعلق به «نهاد‌های دیپلماتیک در سازمان غیر دولتی در قاره‌های آفریقا، آسیا و اروپا» و تمامی آنها نیز به نحوی با کره جنوبی در ارتباط بوده‌اند.

این آزمایشگاه در حین بررسی کد کامپیوتری این بد افزار دریافت که این فرایند‌ها به یک سرور کنترل کننده دسترسی دارند که پیش‌تر یک گروه هکری وابسته به دولت چین به نام وینتی آن را راه‌اندازی کرده بودند. بعلاوه این شرکت امنیتی شواهدی یافته است که نشان می‌دهد سازندگان این بد افزار در کدنویسی از زبان چینی استفاده کرده‌اند.

با این وجود آزمایشگاه کسپراسکای از اعلام جرم برای گروه خاصی اجتناب کرده است. این آزمایشگاه اعلام کرد «از آنجایی که این تنها ارتباط بین یافته‌های ما و گروه‌هایی است که از مسیر ارتباطی گروه وینتی استفاده می‌کنند، ما به اندازه کافی مطمئن نیستیم که این گروه مسئول اصلی حملات باشد».

روشن نیست که این بدافزار چگونه به این دستگاه‌ها انتقال یافته و کدام مدل‌های کامپیوتر نصب به آن آسیب پذیر هستند. آزمایشگاه کسپراسکای اشاره می‌کند که دستکاری UEFI از آنجایی دشواری است که نیازمند دانش سفت افزار ماشینی و روش‌های نفوذ به چیپ فلش SPI روی برد است.

تیم هک عامل ایجاد بدافزار سفت‌افزار

همچنین این شرکت امنیتی دریافته است که بدافزار UEFI با استفاده از مستنداتی ایجاد شده است که از یک شرکت نظارت و کنترل ایتالیایی به نام تیم هک نشت کرده بود. در سال ۲۰۱۵ فایل‌های این شرکت دزدیده شد و در فضای آنلاین منتشر شد و این فایل‌ها نشان می‌داد که تیم هک نیز در حال فعالیت روی یک حمله UEFI بوده است که می‌تواند مدل‌های Asus X550C و Dell Latitude E6320 را از طریق درایو USB آلوده کند.

این آزمایشگاه در ادامه افزود «البته که نمی‌توان دیگر احتمالات از راه دور از جمله یک مکانیسم به روزرسانی دستکاری شده را نادیده گرفت. در این حالت معمولا از نقاط ضعف موجود در فرایند تایید بروزرسانی BIOS استفاده می‌شود. با اینکه ممکن است حمله از این طریق صورت گرفته باشد اما شواهدی برای پشتیبانی از این ادعا در اختیار نداریم». این آزمایشگاه در ادامه افزود که قربانی باید سفت افزار مادربورد خود را به نسخه‌ای معتبر بروزرسانی کند.

این دومین باری است که محققان از بدافزاری براساس UEFI خبر داده است. فروشنده آنتی ویروس دیگری به نام ESET نیز در سال ۲۰۱۸ از بدافزاری دیگری براساس UEFI خبر داد که در آن زمان احتمال داده می‌شد از سوی هکر‌های وابسته به دولت روسیه منتشر شده باشد.

آزمایشگاه کسپراسکای این بدافزار را به لطف اسکنر سفت‌افزار این شرکت که از سال پیش عملیاتی شده است شناسایی کرد. این شرکت دریافته است که مجرمان از طریق ایمیل‌های فیشینگ با قربانیان ارتباط برقرار کرده‌اند. اما با این وجود در هیچکدام از این ایمیل‌ها نشانی از حمله به UEFI وجود ندارد. در واقع هنوز مشخص نیست که این بدافزار چگونه وارد دستگاه قربانیان شده است.