روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ به تازگی، محققین ما حملهی هدفدار پیچیدهای را کشف کردند که تنها مقصودش یورش به مؤسسات سیاسی و سازمانهای غیردولتی در آسیا، اروپا و آفریقاست. تا آنجا که اطلاع داریم، تمامی قربانیان یکجورهایی به کره شمالی ارتباط داشتند (حالا یا از طریق فعالیتهای غیرانتفاعی یا روابط دیپلماتیک). مهاجمین از یک فریمورک جاسوسی سایبری پیچیده و مبتنی بر ماژول استفاده کردند که محققین ما آن را MosaicRegressor صدا میزنند. تحقیقات ما نشان داده که در برخی از موارد، این بدافزار از طریق [1]UEFIهای دستکاریشده به داخل کامپیوترهای قربانیان رخنه کرده است (اتفاقی به شدت نادر). با این حال، در بیشتر موارد مهاجمین از اسپیر فیشینگ –که متود سنتیتریست- استفاده کردند.
UEFI چیست و چرا این بوتکیت خطرناک است؟
UEFI مانند BIOS[2] نرمافزایست که وقتی کامپیوتر شروع به کار میکند -حتی پیش از آنکه سیستمعامل بخواهد راه بیافتد- اجرای درستی دارد. افزون بر این، در هارد درایو ذخیره نمیشود؛ بلکه روی تراشهای بر روی یک مادربورد ذخیره میگردد. اگر مجرمان سایبری کد UEFI را دستکاری کنند، میتوانند به طور بالقوه از آن برای تزریق بدافزار به سیستم قربانی استفاده کنند. این دقیقاً همان چیزیست که در کمپین مذکور پیدا کردیم. علاوه بر اینها، مهاجمین موقع ساخت سفتافزار UEFI دستکاریشدهی خود از کد منبع VectorEDK–یک بوتکیت از شرکت HackingTeam که به طور آنلاین نشت پیدا کرد- استفاده کردند. گرچه این کد منبع سال 2015 برای عموم قابلدسترسی بود اما این اولین باریست که شاهد کاربردش توسط مجرمان سایبری هستیم. وقتی سیستم بالا میآید، این بوتکیت فایل آلودهی IntelUpdate.exe را در فولدر استارتآپ سیستم قرار میدهد. این فایل قابلاجرا روی کامپیوتر اجزاهای دیگرِ MosaicRegressor را دانلود و نصب میکند. با توجه به انزوای نسبی UEFI–حتی اگر این فایل آلوده شناسایی هم بشود- حذف کردنش تقریباً غیرممکن است. نه حذف آن و نه نصب مجدد سیستمعامل دیگر دردی را دوا نخواهد کرد. تنها راه حل این مشکل، فلش کردن مجددِ مادربورد است.
چرا MosaicRegressor خطرناک است؟
اجزای MosaicRegressor که تحویل این بدافزار را روی کامپیوتر قربانیها میسر میسازد (یا از طریق UEFI دستکاریشده یا فیشینگ هدفدار) به سرورهای C&C این کامپیوترها وصل شده، ماژولهای اضافی را دانلود کرده و بعد آنها را اجرا کردند. سپس از این ماژولها برای سرقت اطلاعات استفاده شد. برای مثال، یکی از آنها که همین اواخر ارسال شده بود داکیومنتهایی را برای مجرمان سایبری باز کرد. مکانیزمهای مختلفی برای برقراری تعامل با سرورهای C&C مورد استفاده قرار گرفت: آرشیو cURL (برای HTTP/HTTPS)، رابط BITS، رابط برنامهنویسی WinHTTP و سرویسهای میل عمومی که از پروتکلهای POP3S، SMTPS یا IMAPS استفاده میکنند.
چطور از گزند MosaicRegressor در امان باشیم؟
برای مصون ماندن از گزند MosaicRegressor، اولین تهدیدی را که باید خنثی کرد اسپیر فیشینگ است؛ این طوریست که حملات پیچیده شروع به کار میکنند. همچنین برای ماکسیمم محافظت از کامپیوتر کارمند توصیه میکنیم از ترکیبی از محصولات امنیتی با فناوریهای پیشرفتهی ضد فیشینگ استفاده کنید. همینطور با آموزش به کارمندان خود سطح آگاهیشان را نسبت به حملاتی از این دست بالا ببرید. راهکارهای امنیتی ما ماژولهای آلوده را –که کارشان سرقت اطلاعاتی است- شناسایی میکنند. در مورد این سفتافزار دستکاریشده هم متأسفانه دقیقاً نمیدانیم چطور این بوتکیت به کامپیوتر قربانیان رخنه کرد. دادههای نشتشده از شرکت HackingTeam اینطور نشان میدهد که مهاجمین احتمالاً به دسترسی فیزیکی نیاز داشتند و برای آلوده کردن این دستگاهها از درایو یواسبی استفاده کردند. با این حال، متودهای دیگر دستکاری UEFI را نمیشود انکار کرد.
برای ایمن ماندن از خطر بوتکیت MosaicRegressor UEFI:
- وبسایت تولیدکنندهی کامپیوتر یا مادربورد خود را بررسی کنید تا ببینید آیا سختافزار شما از Intel Boot Guard–که مانع اصلاح غیرقانونی سفتافزار UEFI میشود- پشتیبانی میکند یا خیر.
- برای اینکه نگذارید بوتکیت، پیلود خود را نصب کند، از رمزگذاری تمامدیسک استفاده کنید.
- از راهکارهای امنیتی مطمئن که میتوانند تهدیدهایی با چنین ماهیت را اسکن و شناسایی کنند استفاده نمایید. از سال 2019، محصولات ما قادرند تهدیدهایی را جستجو کنند که خود را در ROM BIOS و سفتافزار UEFI پنهان میکنند. در واقع، فناوری اختصاصی Firmware Scanner ما این حمله را برای اولین بار شناسایی نمود.
[1]رابط متحد توسعهپذیر سیستمعامل
[2]بایوس یا سامانهٔ ورودی
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
