کشف بدافزاری که شناسایی و حذف آن تقریبا غیرممکن است!

محققان بدافزاری را کشف کرده‌اند که حداقل ۶ سال قدمت دارد و به‌طورمخفیانه سیستم‌های مجهز به مادربردهای ایسوس و گیگابایت را آلوده می‌کند. این بدافزار به‌گونه‌ای عمل می‌کند که شناسایی آن تقریباً ممکن نیست.
   
هکرهای چینی از سال ۲۰۱۶ تاکنون، با استفاده از بدافزاری به نام CosmicStrand به سیستم‌های زیادی نفود کرده‌اند. این ابزار پس از توزیع کد مخرب خود در فایل ISO برخی مادربردها، شناسایی‌شدنی نیست. درواقع، بدافزار یادشده با بهره‌گرفتن از روشی خاص فایل‌های ISO سخت‌افزار را به‌عنوان روت‌کیت رابط سخت‌افزار یکپارچه‌ی توسعه‌پذیر (UEFI) هدف قرار می‌دهد.

گفتنی است روت‌کیت به مجموعه‌ای از نرم‌افزارها اشاره می‌کند که کنترل سیستم کامپیوتری را به‌دست می‌گیرند.

نام CosmicStrand را محققان امنیتی شرکت Kaspersky برای این بدافزار انتخاب کرده‌اند؛ بااین‌حال، تحلیلگران Qihoo360 نسخه‌ی قبلی این ابزار را شناسایی و از‌ آن با عنوان Spy Shadow Trojan یاد کرده‌اند.

UFEI برنامه‌ی مهمی است که سیستم‌عامل را به سخت‌افزار متصل می‌کند. بدین‌ترتیب کد UEFI هنگام راه‌اندازی اولیه‌ی کامپیوتر، حتی قبل از هرگونه اقدام امنیتی روی سیستم اجرا می‌شود و درنتیجه، بدافزارهایی که به این بخش نفوذ می‌کنند، به‌سختی شناسایی‌شدنی خواهند بود.

بااین‌حال، نکته‌ی نگران‌کننده‌تر این است که بدافزار مذکور با نصب مجدد سیستم‌عامل نیز پاک نمی‌شود. در واقع، شما حتی نمی‌توانید با تعویض درایو ذخیره‌سازی از دست CosmicStrand خلاص شوید.

مارک لچتیک که قبلاً در بخش مهندسی معکوس Kaspersky کار می‌کرد، درباره‌ی CosmicStrand گفت: «این بدافزار به‌گونه‌ای اصلاح شده است تا توالی بوت کامپیوتر را رهگیری و منطق مخرب را به آن معرفی کند.»

Kaspersky می‌گوید که روت‌کیت CosmicStrand UEFI در فایل‌های ISO مادربردهای گیگابایت یا ایسوس که از تراشه‌های H81 بهره می‌برند، کشف شده است؛ بدین‌ترتیب سخت‌افزارهای فروخته شده بین سال‌های ۲۰۱۳ تا ۲۰۱۵ تحت تأثیر این بدافزار قرار دارند.

به‌ گزارش DigitalTrends، قربانیان CosmicStrand افرادی عادی در کشورهای چین و ویتنام و روسیه بودند؛ بنابراین، نمی‌توان این بدافزار را با دولت‌ها یا سازمان‌ها مرتبط دانست. بااین‌حال، محققان با بررسی الگوهای کد، پیوند میان این ابزار با عامل تهدید چینی‌زبان را تأیید کرده‌اند که در بات‌نت‌ مجزای رمزنگاری دیده شده است.

Kaspersky تأکید کرد که روت‌کیت CosmicStrand UEFI می‌تواند برای همیشه روی سیستم آلوده باقی بماند. سال ۲۰۱۸، شرکت امنیتی ESET اولین گزارش درباره‌ی این بدافزار را منتشر کرد. این ابزار در آن زمان به LoJax معروف بود و هکرهای روسی مرتبط با گروه APT28 از آن استفاده می‌کردند. از آن زمان، تعداد سیستم‌های آلوده به روت‌کیت‌های مبتنی‌بر UEFI به‌طور‌پیوسته در حال افزایش است که از جمله می‌توان به ESPecter اشاره کرد؛ کیتی که گفته می‌شود از سال ۲۰۱۲ برای اهداف جاسوسی استفاده شده است.

شایان ذکر است که در سال جاری، فعالیت‌ گروه‌های هکری که از بدافزارها استفاده می‌کنند، بسیار زیاد بوده است. به‌عنوان مثال، هکرها اخیراً موفق شده‌اند با استفاده از برنامه‌ی ماشین‌حساب مایکروسافت، کدهای مخرب مدنظر خود را روی سیستم‌های قربانیان اجرا کنند.