پیدا شدن بدافزار CosmicStrand UEFI در مادربردهای گیگابایت و ایسوس

هکرهای چینی زبان حداقل از سال 2016 از بدافزاری استفاده می‌کنند که در تصاویر سیستم‌عامل برخی از مادربردها وجود دارد و تقریبا مخفی مانده بود، یکی از دائمی‌ترین تهدیدات که معمولاً به عنوان روت کیت UEFI شناخته می‌شود.

محققان شرکت امنیت سایبری Kaspersky آن را CosmicStrand نامیدند، اما نوع قبلی این تهدید توسط تحلیلگران بدافزار در Qihoo360 کشف شد که آن را Spy Shadow Trojan نامیدند.

مشخص نیست که عامل تهدید چگونه توانسته است روت کیت را به تصاویر سیستم عامل ماشین‌های مورد نظر تزریق کند، اما محققان این بدافزار را در دستگاه‌هایی با مادربردهای ASUS و Gigabyte پیدا کردند.

روت کیت Mystery UEFI

نرم افزار Unified Extensible Firmware Interface (UEFI) چیزی است که سیستم عامل کامپیوتر را با ثابت‌افزار سخت افزار زیرین متصل می‌کند.

کد UEFI اولین کدی است که در طول توالی بوت شدن کامپیوتر، پیش از سیستم عامل و راه ‌حل‌های امنیتی موجود اجرا می‌شود.

نه تنها شناسایی بدافزار کاشته شده در تصویر سیستم‌عامل UEFI آن دشوار است، بلکه بسیار پایدار است زیرا با نصب مجدد سیستم عامل یا با جایگزینی درایو ذخیره‌سازی قابل حذف نیست.

گزارش از Kaspersky جزئیات فنی درباره CosmicStrand از مؤلفه UEFI آلوده تا استقرار یک ایمپلنت در سطح هسته در سیستم ویندوز در هر بار بوت ارائه می‌دهد.

کل فرآیند شامل راه اندازی قلاب‌هایی(hooks) برای تغییردادن بارگزارکننده سیستم عامل و به دست گرفتن کنترل کل جریان اجرا است تا کد پوسته‌ای را راه اندازی کند که پیلودش را از سرور فرمان و کنترل دریافت می‌کند.

Mark Lechtik ، مهندس معکوس سابق Kaspersky، اکنون در Mandiant که در این تحقیق شرکت داشت، توضیح می‌دهد که تصاویر سیستم‌عامل آسیب‌دیده با یک درایور CSMCORE DXE تغییر داده شده ارائه شده‌اند که فرآیند بوت قدیمی را امکان‌پذیر می‌کند.

Lechtik در توییتی در روز دوشنبه گفته است: « این درایور به گونه ای تغییر یافت که توالی بوت را رهگیری کند و منطق مخرب را به آن اضافه کند. »

در حالی که نوع CosmicStrand کشف شده توسط Kaspersky جدیدتر است، محققان Qihoo360 در سال 2017 اولین جزئیات مربوط به نسخه اولیه این بدافزار را فاش کردند.

محققان چینی پس از آنکه یک قربانی گزارش داد که کامپیوترش ناگهان یک حساب کاربری جدید ساخته است و نرم افزار آنتی ویروس مدام در مورد نفوذ بدافزار هشدار می دهد، شروع به تجزیه و تحلیل ایمپلنت کردند.

بر اساس گزارش آنها، سیستم در معرض خطر روی یک مادربرد دست دوم ایسوس که مالک آن از یک فروشگاه آنلاین خریداری کرده بود، کار می‌کرد.

Kaspersky توانست تشخیص دهد که روت کیت CosmicStrand UEFI در تصاویر سیستم‌عامل مادربردهای گیگابایت یا ایسوس که طراحی‌های مشترکی با استفاده از چیپست H81 دارند، قرار دارد.

این به سخت افزار قدیمی بین سال های 2013 تا 2015 اشاره دارد که امروزه اکثرا تولیدشان متوقف شده است.

مشخص نیست که چگونه ایمپلنت روی رایانه‌های آلوده قرار داده شده است زیرا این فرآیند شامل دسترسی فیزیکی به دستگاه یا از طریق یک بدافزار پیش‌ساز است که قادر به وصله خودکار تصویر سیستم‌عامل است.

قربانیان شناسایی شده توسط Kaspersky همچنین سرنخ های کمی در مورد عامل تهدید و هدف آنها ارائه می دهند زیرا سیستم های آلوده شناسایی شده متعلق به افراد خصوصی در چین، ایران، ویتنام و روسیه است که نمی توانند به یک سازمان یا صنعت مرتبط شوند.

با این حال، محققان CosmicStrand را به یک عامل چینی زبان بر اساس الگوهای کدی که در بات نت رمزنگاری MyKings نیز دیده می‌شد، مرتبط کردند، جایی که تحلیلگران بدافزار در Sophos اثرات زبان چینی را یافتند.

Kaspersky می‌گوید که روت‌کیت سیستم‌عامل CosmicStrand UEFI می‌تواند برای تمام عمر رایانه روی سیستم باقی بماند و از پایان سال 2016 سال‌ها در عملیات‌ها استفاده شده است.

بدافزار UEFI رایج تر می‌شود

اولین گزارش گسترده در مورد روت کیت UEFI یافت شده ، LoJax، در سال 2018 از ESET ارائه شد و در حملات هکرهای روسی در گروه APT28  (با نام مستعار Sednit، Fancy Bear، Sofacy) از آن استفاده شد.

تا الان تعداد حملات بدافزار UEFI بیشتر شده است و فقط هکرهای پیشرفته نبودند که این گزینه را بررسی کردند:

ما در مورد MosaicRegressor در سال 2020 از Kaspersky یاد گرفتیم، اگرچه در حملات سال 2019 علیه سازمان‌های غیر دولتی از آن استفاده شد.

در پایان سال 2020 این خبر منتشر شد مبنی بر اینکه توسعه دهندگان TrickBot ، TrickBoot را ایجاد کرده‌اند، ماژول جدیدی که ماشین‌های در معرض خطر را از نظر آسیب‌پذیری‌های UEFI بررسی می‌کند.

یکی دیگر از روت کیت های UEFI در اواخر سال 2021 معرفی شد که توسط گروه Gamma به عنوان بخشی از راه حل نظارتی FinFisher آنها توسعه داده شد.

در همان سال، جزئیاتی از ESET در مورد یک بوت کیت دیگر به نام ESPecter منتشر شد که گمان می‌رود عمدتاً برای جاسوسی استفاده می‌شود و منشا آن به سال 2012 باز می‌گردد.

MoonBounce، که یکی از پیچیده‌ترین ایمپلنت‌های سیستم‌عامل UEFI محسوب می‌شود، در ژانویه امسال همانطور که توسط Winnti، یک گروه هکر چینی زبان (همچنین به عنوان APT41 شناخته می شود) استفاده می‌شد، فاش شد.

منبع: Bleeping_Computer