کسپرسکی: مادربردهای ایسوس و گیگابایت در ایران سال‌ها به بدافزار آلوده بوده‌اند

پژوهشگرهای یک کمپانی امنیتی بزرگ خبر از آلودگی چندساله بایوس مادربردهای گیگابایت و ایسوس به یک بدافزار غیر قابل حذف دادند. این بدافزار که سال‌ها پنهان مانده، کامپیوترهای ایرانی را هم آلوده کرده است. جزئیات بیشتر درباره بدافزار خطرناک CosmicStrand را در شهر سخت افزار بخوانید.

این هفته کمپانی امنیتی روسی کسپرسکی (Kaspersky) با انتشار گزارشی پرده از وجود یک بدافزار به نام CosmicStrand برداشته است که در بایوس یا به طور دقیق فِرم‌ور UEFI مادربردها پنهان می‌شود. بدافزارهای UEFI جزء تهدیدهای مستمر (Persist) هستند و بر روی سیستم قربانی باقی می‌مانند.

ایران در بین کشورهای با بیشترین آلودگی به این بدافزار

به گزارش منابع مختلف خبری و امنیتی، بدافزار CosmicStrand عمدتاً کامپیوترهایی در ایران، چین، روسیه و ویتنام را آلوده کرده است. تخمین زده می‌شود این بدافزار از سال 2016 میلادی وجود داشته باشد.

بدافزار جدید که به طور دقیق‌تر یک روت کیت (Rootkit) است، بر روی برخی مادربردهای ساخت ایسوس و گیگابایت شناسایی شده است. این مادربردها بر پایه چیپست قدیمی H81 هستند که به طور گسترده در سراسر دنیا یافت می‌شوند و سال‌ها از عرضه آنها می‌گذرد. به گفته کسپرسکی حمله کننده‌ها موفق شده‌اند حفره‌ای امنیتی در بایوس مادربردهای گیگابایت و ایسوس بیابند و بدافزار خود را به تراشه نگهداری BIOS تزریق کنند.

همچنین پژوهشگرها می‌گویند ممکن است مجرمین سایبری به مادربردها دسترسی فیزیکی داشته‌اند و اقدام به نصب Firmware آلوده بر روی آنها کرده باشند. از همین رو احتمال‌های دیگری چون عرضه مادربردهای از پیش آلوده به بدافزار هم وجود دارد.

از آنجایی که فرم‌ور UEFI بر روی یک تراشه بر روی مادربرد نگهداری می‌شود و با هر بار روشن کردن کامپیوتر بارگذاری و اجرا می‌شود، پاک کردن بدافزار CosmicStrand نسبت به بدافزارهای رایج پیچیده‌تر است. همچنین شناسایی بدافزارهای مقیم تراشه BIOS کار آسانی نیست و حتی دسترسی‌هایی به هکرها می‌دهد که بعداً بتوانند سیستم قربانی را به بدافزارهای بیشتری آلوده کنند.

هنگامی که بدافزار CosmicStrand سیستم کاربر را آلوده می‌کند، در زمان راه اندازی سیستم و پیش از بارگذاری سیستم عامل، اقدام به دست‌کاری آن می‌کند تا در نهایت بتواند بدافزار یا کُدهای مخرب را تزریق کند. به وضوح چنین حملاتی بسیار پیچیده و مستلزم داشتن دانش فنی بالایی هستند؛ از همین رو گمان می‌رود با یک گروه هکری وابسته به حکومت‌ها روبرو باشیم.

هرچند کسپرسکی نتوانسته هکرها را شناسایی کند، اما می‌گوید احتمالاً با یک گروه هکری چینی‌زبان روبرو هستیم یا دست‌کم از ابزارها و منابعی استفاده کرده‌اند که در بین هکرهای چینی رایج است. جالب‌تر اینکه کسپرسکی می‌گوید بدافزار CosmicStrand منحصراً بر روی کامپیوترهای مورد استفاده کاربرانِ نسخه رایگان آنتی ویروس این کمپانی شناسایی شده است و به نظر می‌رسد قربانیان اغلب از کاربران معمولی یا خانگی باشند.

همچنین در کُد منبع بدافزار CosmicStrand الگوهای مشابهی با یک بدافزار گزارش شده در سال 2020 میلادی وجود دارد. بدافزار مزبور از گروه MyKings است و اقدام به آلوده کردن سیستم کاربران به ماینر یا استخراج کننده رمز ارزها می‌کرد.

زمان آخرین آپدیت BIOS یکی از مادربردهای H81 ایسوس

شناسایی این بدافزار دو پیام واضح با خود دارد. نخست اینکه ثابت می‌کند بدافزارهای مقیم BIOS واقعی هستند و احتمالاً موارد بسیار بیشتری وجود دارد که شناسایی نشده‌اند. اما پیام دیگر آن وجود حفره امنیتی بالقوه خطرناک، دست‌کم در بایوس مادربردهای ساخت ایسوس و گیگابایت است که برای سال‌های متمادی وجود داشته و اقدام به رفع آن نکرده‌اند.

این موضوع نشان می‌دهد سازندگان مادربرد باید توجه بسیار جدی‌تری به امنیت تراشه BIOS مادربردهای خود داشته باشند. متاسفانه در این مورد مشخص، دست‌کم مادربردهای ساخت ایسوس و گیگابایت حاوی حفره امنیتی بسیار خطرناک هستند که امکان تزریق بدافزار را به مجرمین داده‌اند. همچنین تا کنون این دو کمپانی هیچ اقدامی در رابطه با ارائه آپدیت یا حتی شفاف‌سازی درباره این موضوع نداشته‌اند.