پژوهشگرهای یک کمپانی امنیتی بزرگ خبر از آلودگی چندساله بایوس مادربردهای گیگابایت و ایسوس به یک بدافزار غیر قابل حذف دادند. این بدافزار که سال‌ها پنهان مانده، کامپیوترهای ایرانی را هم آلوده کرده است. جزئیات بیشتر درباره بدافزار خطرناک CosmicStrand را در شهر سخت افزار بخوانید.

این هفته کمپانی امنیتی روسی کسپرسکی (Kaspersky) با انتشار گزارشی پرده از وجود یک بدافزار به نام CosmicStrand برداشته است که در بایوس یا به طور دقیق فِرم‌ور UEFI مادربردها پنهان می‌شود. بدافزارهای UEFI جزء تهدیدهای مستمر (Persist) هستند و بر روی سیستم قربانی باقی می‌مانند.

آلودگی مادربردهای ایسوس و گیگابایت در ایران به بدافزار CosmicStrand

ایران در بین کشورهای با بیشترین آلودگی به این بدافزار

به گزارش منابع مختلف خبری و امنیتی، بدافزار CosmicStrand عمدتاً کامپیوترهایی در ایران، چین، روسیه و ویتنام را آلوده کرده است. تخمین زده می‌شود این بدافزار از سال 2016 میلادی وجود داشته باشد.

بدافزار جدید که به طور دقیق‌تر یک روت کیت (Rootkit) است، بر روی برخی مادربردهای ساخت ایسوس و گیگابایت شناسایی شده است. این مادربردها بر پایه چیپست قدیمی H81 هستند که به طور گسترده در سراسر دنیا یافت می‌شوند و سال‌ها از عرضه آنها می‌گذرد. به گفته کسپرسکی حمله کننده‌ها موفق شده‌اند حفره‌ای امنیتی در بایوس مادربردهای گیگابایت و ایسوس بیابند و بدافزار خود را به تراشه نگهداری BIOS تزریق کنند.

همچنین پژوهشگرها می‌گویند ممکن است مجرمین سایبری به مادربردها دسترسی فیزیکی داشته‌اند و اقدام به نصب Firmware آلوده بر روی آنها کرده باشند. از همین رو احتمال‌های دیگری چون عرضه مادربردهای از پیش آلوده به بدافزار هم وجود دارد.

از آنجایی که فرم‌ور UEFI بر روی یک تراشه بر روی مادربرد نگهداری می‌شود و با هر بار روشن کردن کامپیوتر بارگذاری و اجرا می‌شود، پاک کردن بدافزار CosmicStrand نسبت به بدافزارهای رایج پیچیده‌تر است. همچنین شناسایی بدافزارهای مقیم تراشه BIOS کار آسانی نیست و حتی دسترسی‌هایی به هکرها می‌دهد که بعداً بتوانند سیستم قربانی را به بدافزارهای بیشتری آلوده کنند.

بدافزار مادربرد ایسوس گیگابایت UEFI

هنگامی که بدافزار CosmicStrand سیستم کاربر را آلوده می‌کند، در زمان راه اندازی سیستم و پیش از بارگذاری سیستم عامل، اقدام به دست‌کاری آن می‌کند تا در نهایت بتواند بدافزار یا کُدهای مخرب را تزریق کند. به وضوح چنین حملاتی بسیار پیچیده و مستلزم داشتن دانش فنی بالایی هستند؛ از همین رو گمان می‌رود با یک گروه هکری وابسته به حکومت‌ها روبرو باشیم.

هرچند کسپرسکی نتوانسته هکرها را شناسایی کند، اما می‌گوید احتمالاً با یک گروه هکری چینی‌زبان روبرو هستیم یا دست‌کم از ابزارها و منابعی استفاده کرده‌اند که در بین هکرهای چینی رایج است. جالب‌تر اینکه کسپرسکی می‌گوید بدافزار CosmicStrand منحصراً بر روی کامپیوترهای مورد استفاده کاربرانِ نسخه رایگان آنتی ویروس این کمپانی شناسایی شده است و به نظر می‌رسد قربانیان اغلب از کاربران معمولی یا خانگی باشند.

همچنین در کُد منبع بدافزار CosmicStrand الگوهای مشابهی با یک بدافزار گزارش شده در سال 2020 میلادی وجود دارد. بدافزار مزبور از گروه MyKings است و اقدام به آلوده کردن سیستم کاربران به ماینر یا استخراج کننده رمز ارزها می‌کرد.

5454.PNG

زمان آخرین آپدیت BIOS یکی از مادربردهای H81 ایسوس

شناسایی این بدافزار دو پیام واضح با خود دارد. نخست اینکه ثابت می‌کند بدافزارهای مقیم BIOS واقعی هستند و احتمالاً موارد بسیار بیشتری وجود دارد که شناسایی نشده‌اند. اما پیام دیگر آن وجود حفره امنیتی بالقوه خطرناک، دست‌کم در بایوس مادربردهای ساخت ایسوس و گیگابایت است که برای سال‌های متمادی وجود داشته و اقدام به رفع آن نکرده‌اند.

این موضوع نشان می‌دهد سازندگان مادربرد باید توجه بسیار جدی‌تری به امنیت تراشه BIOS مادربردهای خود داشته باشند. متاسفانه در این مورد مشخص، دست‌کم مادربردهای ساخت ایسوس و گیگابایت حاوی حفره امنیتی بسیار خطرناک هستند که امکان تزریق بدافزار را به مجرمین داده‌اند. همچنین تا کنون این دو کمپانی هیچ اقدامی در رابطه با ارائه آپدیت یا حتی شفاف‌سازی درباره این موضوع نداشته‌اند.

نظر خود را اضافه کنید.

ارسال نظر بدون عضویت در سایت

0

نظرات (30)

  • مهمان - یاسر

    لازم هست که دستگاه های نظارتی وارد این موضوع بشند و جلوی واردات گیگابایت و ایسوس گرفته بشه

  • مهمان - ناشناس

    حملات سطح Firmware چیز جدیدی نیستند. اما نکته این جاست که بخاطر بسته بودن سورس firmware ها، پیدا کردن این آسیب پذیری هایی که در سطوح پایین سخت افزاری هستند، آسون نیست اما اگر هکرها به سورس دسترسی داشته باشند، به راحتی میتونن حفره های امنیتی رو پیدا کنند. احتمال همکاری شرکت های گیگابایت و ایسوس با دولت چین و یا نفوذ سازمان های اطلاعاتی چین به این شرکت ها وجود داره. اگر این شرکت ها در ارائه ی آپدیت تعلل کنند فرض اول (همکاری عمدی با هکرهای دولتی چین) تقویت میشه.
    احتمالا هکرهای وابسته به دولت چین از این بدافزار برای شناسایی فعالین سایبری آزادی خواه در کشورهای هدف استفاده می کنند.
    البته اینا همه فرضیاته و ممکنه هکرها با مهندسی معکوس، به سورس فیرمور مادربرد ها دسترسی و حفره های امنیتی شون رو پیدا کرده باشند.نهایتا اگر امنیت برای کسی خیلی اهمیت داره، باید از سخت افزار های اوپن سورس استفاده کنه که خب گرون تر هستند و دسترسی بهشون سخت تره.

  • مهمان - GTX

    هیچ وقت از شرکت چیز ژنگ-وارد کننده گیگابایت خوشم نیومد. مافیایی عمل میکنن تو بازار ایران :(

  • مهمان - Amirali

    راه حل:
    ریست بایوس:)

  • مهمان - شهروند

    در پاسخ به: مهمان - Amirali

    ریست فقط تنظیمات برنامه بایوس پاک می کنه، این ویروس یا اسمش هرچی می خواهید بزارید داخل حافظه کنار بایوس هستند و نحوه ورودشون هم با برنامه یا کد های فلش کردن بایوس هست ، ولی مطمئن ترین راه حل از یک حالت امن مثل سیستم عامل لایو یا بوت داس اقدام به نوشتن یا فلش بایوس با فایل بروزرسانی بایوس غیر آلوده کرد البته اگر فایل بروزرسانی
    های بایوس که شرکت های سازنده میدهند آلوده نباشد

    دولت ها در ایران کوچکترین اهمیتی به امنیت سایبری نمی دهند اگر می دادند جلوی
    واردات تجهیزات استوک رایانه و شبکه و لپتاپ هایی که مملوء از برنامه های جاسوسی و رخنه های امنیتی هست را نمی دادند ، متأسفانه در همه جا هست حتی در ادارات دولتی!!!

  • مهمان - Hamid

    :):) طوری نشده حالا ، بزار هرچی پ. ر.ن میخان از سیستم من کش برن ،نوش جونشون??? من که شخصا ترجیح میدم با کامپیوتر و لبتاب متصل به اینترنت کارای بانکی و شخصی انجام ندم?✋

  • مهمان - بامداد

    هکر فقط هکر روس !
    اول روسیه بعد چین

    امریکا و اسرائیل هم که به اندازه غاز از اینترنت و کامپیوتر سر درنمیارن

  • مهمان - یاسر

    این موضوع به نظرم باید در سطح بالای مملکت بررسی بشه و واردات مادربردهای گیگابایت و ایسوس ممنوع بشه. این سوتی امنیتی بزرگی هست و کشور را در معرض خطر امنیت ملی قرار میده.

  • مهمان - مهدی

    سلام خوب ادم مجبوره از مارک های دیگه بخره اگه این طوریه msi acaer جایگزینه خوبیه

  • مهمان - رضا

    پسر یاسر عرفات خبر رو ببینه تحلیل های خوبی میده

بارگذاری بیشتر ...

ورود به شهرسخت‌افزار

ثبت نام در شهر سخت افزار
ورود به شهر سخت افزار

ثبت نام در شهر سخت افزار

نام و نام خانوادگی(*)
لطفا نام خود را وارد کنید

ایمیل(*)
لطفا ایمیل خود را به درستی وارد کنید

رمز عبور(*)
لطفا رمز عبور خود را وارد کنید

شماره موبایل
Invalid Input

جزو کدام دسته از اشخاص هستید؟(*)

لطفا یکی از موارد را انتخاب کنید