پژوهشگرهای امنیتی یک کمپانی امنیتی بزرگ خبر از آلودگی چندساله بایوس مادربردهای گیگابایت و ایسوس به یک بدافزار غیر قابل حذف دادند. این بدافزار که سال‌ها پنهان مانده، کامپیوترهای ایرانی را هم آلوده کرده است. جزئیات بیشتر درباره بدافزار خطرناک CosmicStrand را در شهر سخت افزار بخوانید.

این هفته کمپانی امنیتی روسی کسپرسکی (Kaspersky) با انتشار گزارشی پرده از وجود یک بدافزار به نام CosmicStrand داد که در بایوس یا به طور دقیق فرم ویر UEFI مادربردها پنهان می‌شود. بدافزارهای UEFI جزء تهدیدهای مستمر (Presist) هستند و بر روی سیستم قربانی باقی می‌مانند.

آلودگی مادربردهای ایسوس و گیگابایت در ایران به بدافزار CosmicStrand

ایران در بین کشورهای با بیشترین آلودگی به این بدافزار

بدافزار CosmicStrand عمدتاً کامپیوترهایی در ایران، چین، روسیه و ویتنام را آلوده کرده است. تخمین زده می‌شود این بدافزار از سال 2016 میلادی وجود داشته باشد.

بدافزار جدید که به طور دقیق‌تر یک روت کیت (rootkit) است، بر روی برخی مادربردهای ساخت ایسوس و گیگابایت شناسایی شده است. این مادربردها بر پایه چیپست قدیمی H81 هستند که به طور گسترده در سراسر دنیا یافت می‌شوند و سال‌ها از عرضه آنها می‌گذرد. به گفته کسپرسکی حمله کننده‌ها موفق شده‌اند حفره امنیتی در بایوس مادربردهای گیگابایت و ایسوس بیابند و بدافزار خود را به تراشه نگه داری BIOS تزریق کنند.

همچنین پژوهشگرها می گویند ممکن است مجرمین سایبری به مادربردها دسترسی فیزیکی داشته‌اند و اقدام به نصب فرم ویر آلوده بر روی آنها کرده باشند. از همین رو احتمال‌های دیگری چون عرضه مادربردهای از پیش آلوده به بدافزار هم وجود دارد.

از آنجایی که فرم ویر UEFI بر روی یک تراشه بر روی مادربرد نگه داری می‌شود و با هر بار روشن کردن کامپیوتر بارگذاری و اجرا می‌شود، پاک کردن بدافزار CosmicStrand نسبت به بدافزارهای رایج پیچیده‌تر است. همچنین شناسایی بدافزارهای مقیم تراشه BIOS کار آسانی نیست و حتی دسترسی‌هایی به هکرها می‌دهد که بعداً بتوانند سیستم قربانی را به بدافزارهای بیشتری آلوده کنند.

بدافزار مادربرد ایسوس گیگابایت UEFI

هنگامی که بدافزار CosmicStrand سیستم کاربر را آلوده می‌کند، در زمان راه اندازی سیستم و پیش از بارگذاری سیستم عامل، اقدام به دست‌کاری آن می‌کند تا در نهایت بتواند بدافزار یا کُدهای مخرب را تزریق کند. به وضوح چنین حملاتی بسیار پیچیده و ملزم داشتن دانش فنی بالایی هستند، از همین رو گمان می‌رود با یک گروه هکری حکومتی روبرو باشیم.

هرچند کسپرسکی نتوانسته هکرها را شناسایی کند، اما می‌گوید احتمالاً با یک گروه هکری چینی زبان روبرو هستیم یا دست کم از ابزارها و منابعی استفاده کرده‌اند که در بین هکرهای چینی شایع است. جالب‌تر اینکه کسپرسکی می‌گوید بدافزار CosmicStrand منحصراً بر روی کامپیوترهای مورد استفاده کاربران نسخه رایگان آنتی ویروس این کمپانی شناسایی شده است و به نظر می‌رسد قربانیان اغلب از کاربران معمولی یا خانگی باشند.

همچنین در کُد منبع بدافزار CosmicStrand الگوهای مشابهی با یک بدافزار گزارش شده در سال 2020 میلادی وجود دارد. بدافزار مزبور از گروه MyKings است و اقدام به آلوده کردن سیستم کاربران به ماینر یا استخراج کننده رمز ارزها می‌کرد.



زمان آخرین آپدیت BIOS یکی از مادربردهای H81 ایسوس

شناسایی این بدافزار دو پیام واضح با خود دارد. نخست اینکه ثابت می‌کند بدافزارهای مقیم BIOS واقعی هستند و احتمالاً موارد بسیار بیشتری وجود دارد که شناسایی نشده‌اند. اما پیام دوم آنها، وجود حفره امنیتی بالقوه خطرناک در بایوس مادربردهای دست کم ساخت ایسوس و گیگابایت است که برای سال‌های متمادی وجود داشته و اقدام به رفع آن نکرده‌اند.

اتفاقا مادربرد من همین چیپست رو داره و دسامبر 2015 خریدمش.

- - - Updated - - -

اتفاقا مادربرد من همین چیپست رو داره و دسامبر 2015 خریدمش.

اتفاقا مادربرد من همین چیپست رو داره و دسامبر 2015 خریدمش.

- - - Updated - - -

اتفاقا مادربرد من همین چیپست رو داره و دسامبر 2015 خریدمش.

امیدوارم این شرکت ها پاسخگو باشند و با به روز رسانی مشکل را حل کنند . بیشترین میزان آسیب پذیری احتمالی برای شرکت هاست مخصوصا برای ادارات و وزرات خانه ها

- - - Updated - - -


اتفاقا مادربرد من همین چیپست رو داره و دسامبر 2015 خریدمش.

- - - Updated - - -

اتفاقا مادربرد من همین چیپست رو داره و دسامبر 2015 خریدمش.

امیدوارم این شرکت ها پاسخگو باشند و با به روز رسانی مشکل را حل کنند . بیشترین میزان آسیب پذیری احتمالی برای شرکت هاست مخصوصا برای ادارات و وزرات خانه ها

امیدوارم این شرکت ها پاسخگو باشند و با به روز رسانی مشکل را حل کنند . بیشترین میزان آسیب پذیری احتمالی برای شرکت هاست مخصوصا برای ادارات و وزرات خانه ها

- - - Updated - - -



امیدوارم این شرکت ها پاسخگو باشند و با به روز رسانی مشکل را حل کنند . بیشترین میزان آسیب پذیری احتمالی برای شرکت هاست مخصوصا برای ادارات و وزرات خانه ها

اتفاقا رفتم به سایت ایسوز سر زدم آخرین اپدیت فریم ور برای ماه می -2015 بود که ورژن بایوس من هم همون هست .
حالا اگر سیستمی با این روش الوده شده باشه، میشه فایلهای آلوده که به هارد دیگری منتقل شده رو با انتی ویروس پاکسازی کرد؟

البته اینجا همه حرفه ای ان ولی برای توضیح بهتر این مراحلی هست که سیستم بالا میاد و این کد مخرب در مرحله اول فعال میشه برای همین انتی ویروس ها نمیتونن تشخیصش بدن.

Only the registered members can see the link (Only the registered members can see the link)

- - - Updated - - -


امیدوارم این شرکت ها پاسخگو باشند و با به روز رسانی مشکل را حل کنند . بیشترین میزان آسیب پذیری احتمالی برای شرکت هاست مخصوصا برای ادارات و وزرات خانه ها

- - - Updated - - -



امیدوارم این شرکت ها پاسخگو باشند و با به روز رسانی مشکل را حل کنند . بیشترین میزان آسیب پذیری احتمالی برای شرکت هاست مخصوصا برای ادارات و وزرات خانه ها

اتفاقا رفتم به سایت ایسوز سر زدم آخرین اپدیت فریم ور برای ماه می -2015 بود که ورژن بایوس من هم همون هست .
حالا اگر سیستمی با این روش الوده شده باشه، میشه فایلهای آلوده که به هارد دیگری منتقل شده رو با انتی ویروس پاکسازی کرد؟

البته اینجا همه حرفه ای ان ولی برای توضیح بهتر این مراحلی هست که سیستم بالا میاد و این کد مخرب در مرحله اول فعال میشه برای همین انتی ویروس ها نمیتونن تشخیصش بدن.

Only the registered members can see the link (Only the registered members can see the link)

اتفاقا رفتم به سایت ایسوز سر زدم آخرین اپدیت فریم ور برای ماه می -2015 بود که ورژن بایوس من هم همون هست .
حالا اگر سیستمی با این روش الوده شده باشه، میشه فایلهای آلوده که به هارد دیگری منتقل شده رو با انتی ویروس پاکسازی کرد؟

البته اینجا همه حرفه ای ان ولی برای توضیح بهتر این مراحلی هست که سیستم بالا میاد و این کد مخرب در مرحله اول فعال میشه برای همین انتی ویروس ها نمیتونن تشخیصش بدن.

Only the registered members can see the link (Only the registered members can see the link)

- - - Updated - - -



اتفاقا رفتم به سایت ایسوز سر زدم آخرین اپدیت فریم ور برای ماه می -2015 بود که ورژن بایوس من هم همون هست .
حالا اگر سیستمی با این روش الوده شده باشه، میشه فایلهای آلوده که به هارد دیگری منتقل شده رو با انتی ویروس پاکسازی کرد؟

البته اینجا همه حرفه ای ان ولی برای توضیح بهتر این مراحلی هست که سیستم بالا میاد و این کد مخرب در مرحله اول فعال میشه برای همین انتی ویروس ها نمیتونن تشخیصش بدن.

Only the registered members can see the link (Only the registered members can see the link)

بعید میدونم اپدیتی عرضه کنند .راهش فقط ایمن سازی بایوس هست با یک نسخه سالم

- - - Updated - - -


اتفاقا رفتم به سایت ایسوز سر زدم آخرین اپدیت فریم ور برای ماه می -2015 بود که ورژن بایوس من هم همون هست .
حالا اگر سیستمی با این روش الوده شده باشه، میشه فایلهای آلوده که به هارد دیگری منتقل شده رو با انتی ویروس پاکسازی کرد؟

البته اینجا همه حرفه ای ان ولی برای توضیح بهتر این مراحلی هست که سیستم بالا میاد و این کد مخرب در مرحله اول فعال میشه برای همین انتی ویروس ها نمیتونن تشخیصش بدن.

Only the registered members can see the link (Only the registered members can see the link)

- - - Updated - - -



اتفاقا رفتم به سایت ایسوز سر زدم آخرین اپدیت فریم ور برای ماه می -2015 بود که ورژن بایوس من هم همون هست .
حالا اگر سیستمی با این روش الوده شده باشه، میشه فایلهای آلوده که به هارد دیگری منتقل شده رو با انتی ویروس پاکسازی کرد؟

البته اینجا همه حرفه ای ان ولی برای توضیح بهتر این مراحلی هست که سیستم بالا میاد و این کد مخرب در مرحله اول فعال میشه برای همین انتی ویروس ها نمیتونن تشخیصش بدن.

Only the registered members can see the link (Only the registered members can see the link)

بعید میدونم اپدیتی عرضه کنند .راهش فقط ایمن سازی بایوس هست با یک نسخه سالم

بعید میدونم اپدیتی عرضه کنند .راهش فقط ایمن سازی بایوس هست با یک نسخه سالم

- - - Updated - - -



بعید میدونم اپدیتی عرضه کنند .راهش فقط ایمن سازی بایوس هست با یک نسخه سالم

سخت افزاری؟ یعنی حافظه روی مادربرد که EFI روش نصبه باید جایگزین بشه؟

راستی این پرسشم جا موند


حالا اگر سیستمی با این روش الوده شده باشه، میشه فایلهای آلوده که به هارد دیگری منتقل شده رو با انتی ویروس پاکسازی کرد؟

سخت افزاری؟ یعنی حافظه روی مادربرد که EFI روش نصبه باید جایگزین بشه؟

راستی این پرسشم جا موند


حالا اگر سیستمی با این روش الوده شده باشه، میشه فایلهای آلوده که به هارد دیگری منتقل شده رو با انتی ویروس پاکسازی کرد؟


خیر سخت افزاری نه . چیپ بایوس باید پروگرام بشه با بایوس سالم
این سوال شما نیاز به بررسی دقیق داره و احتمالا چنین بدافزاری میتونه خودش رو روی هارد سیستم هم مستقر کنه .

- - - Updated - - -


سخت افزاری؟ یعنی حافظه روی مادربرد که EFI روش نصبه باید جایگزین بشه؟

راستی این پرسشم جا موند


حالا اگر سیستمی با این روش الوده شده باشه، میشه فایلهای آلوده که به هارد دیگری منتقل شده رو با انتی ویروس پاکسازی کرد؟


خیر سخت افزاری نه . چیپ بایوس باید پروگرام بشه با بایوس سالم
این سوال شما نیاز به بررسی دقیق داره و احتمالا چنین بدافزاری میتونه خودش رو روی هارد سیستم هم مستقر کنه .

سلام

اینجا یک مشکلی وجود داره. به تصویر زیر نگاه کنید

25170

در اینجا کسپراسکی نشون داده این بد افزار فقط در کشورهای ایران و روسیه و چین و همون طور که در بالا اشاره شد در چیپست های H81 وجود داره. اما ما می دونیم مطمئنا در تمامی کشورهای جهان مادبردهای سری H81 ایسوس و گیگابایت فروخته شده و هنوز هم در حال استفاده هستند و شاید اگه خود چین رو نار بذاریم از کل 3 کشور دیگه هم بیشتر هستن اما هیچکدوم این بد افزار ندارن و کاملا سفید سفید هستن همونطور که در نقشه نشون داده شده. مثلا توی آمریکا یا کانادا یا آروپا هیچ مادربرد H81 این بد افزار رو نداره.

ضمنا این بد افزار از سال 2015 باید بوده باشه ولی چند روز پیش فقط توسط کسپراسکی کشف شده و فقط هم تو کشورهای خاصی نه همه کشورهایی که در حال استفاده از این مادربردها هستن. بقیه آنتی ویروس های معتبر جهان مثل Norton و Bitdefender هم که کلا خبری ازشون نیست.

باید ببینیم چرا این بد افزار توی مادربردهای MSi وجود نداره. بالاخره مردم این 4 کشور از مادربردهای MSi هم خیلی استفاده می کنن و عده بسیار زیادی این چیپست رو دارن و باید اونا هم آلوده می شدن

اولین کار این شرکت ها باید انجام بدهند بیانیه رسمی هست که متاسفانه هیچ بیانیه رسمی از این دو شرکت منتشر نشده و عمق فاجعه خیلی از سازمان های حساس داخلی از مادربردهای یکی از این دو شرکت برای سیستم هاشون استفاده میکنند و بهترین کار به جای گمانه زنی این هست که سازمان های دولتی به شدت مراقب سطح امنیت خود باشند و این شرکت ها را وادار به پاسخگویی کنند .

ASUS & Gigabyte Motherboards With Intel Chipsets Vulnerable To CosmicStrand "UEFI Firmware Rootkit" Malware (Only the registered members can see the link)

سلام

اینجا یک مشکلی وجود داره. به تصویر زیر نگاه کنید

25170

در اینجا کسپراسکی نشون داده این بد افزار فقط در کشورهای ایران و روسیه و چین و همون طور که در بالا اشاره شد در چیپست های H81 وجود داره. اما ما می دونیم مطمئنا در تمامی کشورهای جهان مادبردهای سری H81 ایسوس و گیگابایت فروخته شده و هنوز هم در حال استفاده هستند و شاید اگه خود چین رو نار بذاریم از کل 3 کشور دیگه هم بیشتر هستن اما هیچکدوم این بد افزار ندارن و کاملا سفید سفید هستن همونطور که در نقشه نشون داده شده. مثلا توی آمریکا یا کانادا یا آروپا هیچ مادربرد H81 این بد افزار رو نداره.

ضمنا این بد افزار از سال 2015 باید بوده باشه ولی چند روز پیش فقط توسط کسپراسکی کشف شده و فقط هم تو کشورهای خاصی نه همه کشورهایی که در حال استفاده از این مادربردها هستن. بقیه آنتی ویروس های معتبر جهان مثل Norton و Bitdefender هم که کلا خبری ازشون نیست.

باید ببینیم چرا این بد افزار توی مادربردهای MSi وجود نداره. بالاخره مردم این 4 کشور از مادربردهای MSi هم خیلی استفاده می کنن و عده بسیار زیادی این چیپست رو دارن و باید اونا هم آلوده می شدن

البته وقتی من متن خبر رو میخوندم گفته بود اکثریت در این 4 کشور دیده شده ولی در کشورهای دیگر هم بوده. اینکه انتی ویروس های دیگه هنوز نتونستن تشخیص بدن دلیل بر مشکوک یا نامعتبر بودن کشف کسپراسکی نیست.
اما نکته ای که خیلی مهمه این هست که در عمل این اتفاق نیافتاده بود و فقط در تئوری ها بررسی میشد که بله سیستم میتونه قبل بوت هم الوده بشه. اما این کشف باعث میشه برای امنیت سایبری احتمالا از قفلهای سخت افزاری برای دسترسی به بایوس استفاده بشه در اینده (چه جوریش رو نمیدونم ولی امیدوارم اینطوری بشه).
ضمن اینکه همونطور که مقاله اشاره کرده بود احتمالا الودگی های دیگری هستند که هنوز کشف نشدند.

- - - Updated - - -


سلام

اینجا یک مشکلی وجود داره. به تصویر زیر نگاه کنید

25170

در اینجا کسپراسکی نشون داده این بد افزار فقط در کشورهای ایران و روسیه و چین و همون طور که در بالا اشاره شد در چیپست های H81 وجود داره. اما ما می دونیم مطمئنا در تمامی کشورهای جهان مادبردهای سری H81 ایسوس و گیگابایت فروخته شده و هنوز هم در حال استفاده هستند و شاید اگه خود چین رو نار بذاریم از کل 3 کشور دیگه هم بیشتر هستن اما هیچکدوم این بد افزار ندارن و کاملا سفید سفید هستن همونطور که در نقشه نشون داده شده. مثلا توی آمریکا یا کانادا یا آروپا هیچ مادربرد H81 این بد افزار رو نداره.

ضمنا این بد افزار از سال 2015 باید بوده باشه ولی چند روز پیش فقط توسط کسپراسکی کشف شده و فقط هم تو کشورهای خاصی نه همه کشورهایی که در حال استفاده از این مادربردها هستن. بقیه آنتی ویروس های معتبر جهان مثل Norton و Bitdefender هم که کلا خبری ازشون نیست.

باید ببینیم چرا این بد افزار توی مادربردهای MSi وجود نداره. بالاخره مردم این 4 کشور از مادربردهای MSi هم خیلی استفاده می کنن و عده بسیار زیادی این چیپست رو دارن و باید اونا هم آلوده می شدن

البته وقتی من متن خبر رو میخوندم گفته بود اکثریت در این 4 کشور دیده شده ولی در کشورهای دیگر هم بوده. اینکه انتی ویروس های دیگه هنوز نتونستن تشخیص بدن دلیل بر مشکوک یا نامعتبر بودن کشف کسپراسکی نیست.
اما نکته ای که خیلی مهمه این هست که در عمل این اتفاق نیافتاده بود و فقط در تئوری ها بررسی میشد که بله سیستم میتونه قبل بوت هم الوده بشه. اما این کشف باعث میشه برای امنیت سایبری احتمالا از قفلهای سخت افزاری برای دسترسی به بایوس استفاده بشه در اینده (چه جوریش رو نمیدونم ولی امیدوارم اینطوری بشه).
ضمن اینکه همونطور که مقاله اشاره کرده بود احتمالا الودگی های دیگری هستند که هنوز کشف نشدند.

بعد از حدود بالا ده روز هیچ کدام از این دو شرکت هیچ بیانیه رسمی منتشر نکردند و این بسیار بد است . سکوت عموما نشان تایید این مسئله هست و امیدوارم این دو شرکت پاسخگو باشند .