کسپرسکی: سال ها مادربردهای ایسوس و گیگابایت در ایران به بدافزار آلوده بوده اند

[AMD>INTEL]

پژوهشگرهای امنیتی یک کمپانی امنیتی بزرگ خبر از آلودگی چندساله بایوس مادربردهای گیگابایت و ایسوس به یک بدافزار غیر قابل حذف دادند. این بدافزار که سال‌ها پنهان مانده، کامپیوترهای ایرانی را هم آلوده کرده است. جزئیات بیشتر درباره بدافزار خطرناک CosmicStrand را در شهر سخت افزار بخوانید.

این هفته کمپانی امنیتی روسی کسپرسکی (Kaspersky) با انتشار گزارشی پرده از وجود یک بدافزار به نام CosmicStrand داد که در بایوس یا به طور دقیق فرم ویر UEFI مادربردها پنهان می‌شود. بدافزارهای UEFI جزء تهدیدهای مستمر (Presist) هستند و بر روی سیستم قربانی باقی می‌مانند.

آلودگی مادربردهای ایسوس و گیگابایت در ایران به بدافزار CosmicStrand

ایران در بین کشورهای با بیشترین آلودگی به این بدافزار

بدافزار CosmicStrand عمدتاً کامپیوترهایی در ایران، چین، روسیه و ویتنام را آلوده کرده است. تخمین زده می‌شود این بدافزار از سال 2016 میلادی وجود داشته باشد.

بدافزار جدید که به طور دقیق‌تر یک روت کیت (rootkit) است، بر روی برخی مادربردهای ساخت ایسوس و گیگابایت شناسایی شده است. این مادربردها بر پایه چیپست قدیمی H81 هستند که به طور گسترده در سراسر دنیا یافت می‌شوند و سال‌ها از عرضه آنها می‌گذرد. به گفته کسپرسکی حمله کننده‌ها موفق شده‌اند حفره امنیتی در بایوس مادربردهای گیگابایت و ایسوس بیابند و بدافزار خود را به تراشه نگه داری BIOS تزریق کنند.

همچنین پژوهشگرها می گویند ممکن است مجرمین سایبری به مادربردها دسترسی فیزیکی داشته‌اند و اقدام به نصب فرم ویر آلوده بر روی آنها کرده باشند. از همین رو احتمال‌های دیگری چون عرضه مادربردهای از پیش آلوده به بدافزار هم وجود دارد.

از آنجایی که فرم ویر UEFI بر روی یک تراشه بر روی مادربرد نگه داری می‌شود و با هر بار روشن کردن کامپیوتر بارگذاری و اجرا می‌شود، پاک کردن بدافزار CosmicStrand نسبت به بدافزارهای رایج پیچیده‌تر است. همچنین شناسایی بدافزارهای مقیم تراشه BIOS کار آسانی نیست و حتی دسترسی‌هایی به هکرها می‌دهد که بعداً بتوانند سیستم قربانی را به بدافزارهای بیشتری آلوده کنند.

بدافزار مادربرد ایسوس گیگابایت UEFI

هنگامی که بدافزار CosmicStrand سیستم کاربر را آلوده می‌کند، در زمان راه اندازی سیستم و پیش از بارگذاری سیستم عامل، اقدام به دست‌کاری آن می‌کند تا در نهایت بتواند بدافزار یا کُدهای مخرب را تزریق کند. به وضوح چنین حملاتی بسیار پیچیده و ملزم داشتن دانش فنی بالایی هستند، از همین رو گمان می‌رود با یک گروه هکری حکومتی روبرو باشیم.

هرچند کسپرسکی نتوانسته هکرها را شناسایی کند، اما می‌گوید احتمالاً با یک گروه هکری چینی زبان روبرو هستیم یا دست کم از ابزارها و منابعی استفاده کرده‌اند که در بین هکرهای چینی شایع است. جالب‌تر اینکه کسپرسکی می‌گوید بدافزار CosmicStrand منحصراً بر روی کامپیوترهای مورد استفاده کاربران نسخه رایگان آنتی ویروس این کمپانی شناسایی شده است و به نظر می‌رسد قربانیان اغلب از کاربران معمولی یا خانگی باشند.

همچنین در کُد منبع بدافزار CosmicStrand الگوهای مشابهی با یک بدافزار گزارش شده در سال 2020 میلادی وجود دارد. بدافزار مزبور از گروه MyKings است و اقدام به آلوده کردن سیستم کاربران به ماینر یا استخراج کننده رمز ارزها می‌کرد.



زمان آخرین آپدیت BIOS یکی از مادربردهای H81 ایسوس

شناسایی این بدافزار دو پیام واضح با خود دارد. نخست اینکه ثابت می‌کند بدافزارهای مقیم BIOS واقعی هستند و احتمالاً موارد بسیار بیشتری وجود دارد که شناسایی نشده‌اند. اما پیام دوم آنها، وجود حفره امنیتی بالقوه خطرناک در بایوس مادربردهای دست کم ساخت ایسوس و گیگابایت است که برای سال‌های متمادی وجود داشته و اقدام به رفع آن نکرده‌اند.