روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ به تازگی، محققین ما حمله‌ی هدف‌دار پیچیده‌ای را کشف کردند که تنها مقصودش یورش به مؤسسات سیاسی و سازمان‌های غیردولتی در آسیا، اروپا و آفریقاست. تا آنجا که اطلاع داریم، تمامی قربانیان یک‌جورهایی به کره شمالی ارتباط داشتند (حالا یا از طریق فعالیت‌های غیرانتفاعی یا روابط دیپلماتیک). مهاجمین از یک فریم‌ورک جاسوسی سایبری پیچیده و مبتنی بر ماژول استفاده کردند که محققین ما آن را  MosaicRegressor صدا می‌زنند. تحقیقات ما نشان داده که در برخی از موارد، این بدافزار از طریق [1]UEFIهای دستکاری‌شده به داخل کامپیوترهای قربانیان رخنه کرده است (اتفاقی به شدت نادر). با این حال، در بیشتر موارد مهاجمین از اسپیر فیشینگ –که متود سنتی‌تریست- استفاده کردند.

UEFI چیست و چرا این بوت‌کیت خطرناک است؟

UEFI مانند  BIOS[2] نرم‌افزایست که وقتی کامپیوتر شروع به کار می‌کند -حتی پیش از آنکه سیستم‌عامل بخواهد راه بیافتد- اجرای درستی دارد. افزون بر این، در هارد درایو ذخیره نمی‌شود؛ بلکه روی تراشه‌ای بر روی یک مادربورد ذخیره می‌گردد. اگر مجرمان سایبری کد  UEFI را دستکاری کنند، می‌توانند به طور بالقوه از آن برای تزریق بدافزار به سیستم قربانی استفاده کنند. این دقیقاً همان چیزیست که در کمپین مذکور پیدا کردیم. علاوه بر اینها، مهاجمین موقع ساخت سفت‌افزار UEFI دستکاری‌شده‌ی خود از کد منبع VectorEDK–یک بوت‌کیت از شرکت HackingTeam که به طور آنلاین نشت پیدا کرد- استفاده کردند. گرچه این کد منبع سال 2015 برای عموم قابل‌دسترسی بود اما این اولین باریست که شاهد کاربردش توسط مجرمان سایبری هستیم. وقتی سیستم بالا می‌آید، این بوت‌کیت فایل آلوده‌ی IntelUpdate.exe را در فولدر استارت‌آپ سیستم قرار می‌دهد. این فایل قابل‌اجرا روی کامپیوتر اجزاهای دیگرِ MosaicRegressor را دانلود و نصب می‌کند. با توجه به انزوای نسبی UEFI–حتی اگر این فایل آلوده شناسایی هم بشود- حذف کردنش تقریباً غیرممکن است. نه حذف آن و نه نصب مجدد سیستم‌عامل دیگر دردی را دوا نخواهد کرد. تنها راه حل این مشکل، فلش کردن مجددِ مادربورد است.

چرا MosaicRegressor خطرناک است؟

اجزای MosaicRegressor که تحویل این بدافزار را روی کامپیوتر قربانی‌ها میسر می‌سازد (یا از طریق UEFI دستکاری‌شده یا فیشینگ هدف‌دار) به سرورهای C&C این کامپیوترها وصل شده، ماژول‌های اضافی را دانلود کرده و بعد آن‌ها را اجرا کردند. سپس از این ماژول‌ها برای سرقت اطلاعات استفاده شد. برای مثال، یکی از آن‌ها که همین اواخر ارسال شده بود داکیومنت‌هایی را برای مجرمان سایبری باز کرد. مکانیزم‌های مختلفی برای برقراری تعامل با سرورهای C&C مورد استفاده قرار گرفت: آرشیو  cURL (برای HTTP/HTTPS)، رابط BITS، رابط برنامه‌نویسی WinHTTP و سرویس‌های میل عمومی که از پروتکل‌های POP3S، SMTPS یا IMAPS استفاده می‌کنند.

چطور از گزند MosaicRegressor در امان باشیم؟

برای مصون ماندن از گزند  MosaicRegressor، اولین تهدیدی را که باید خنثی کرد اسپیر فیشینگ است؛ این طوریست که حملات پیچیده شروع به کار می‌کنند. همچنین برای ماکسیمم محافظت از کامپیوتر کارمند توصیه می‌کنیم از ترکیبی از محصولات امنیتی با فناوری‌های پیشرفته‌ی ضد فیشینگ استفاده کنید. همینطور با آموزش به کارمندان خود سطح آگاهی‌شان را نسبت به حملاتی از این دست بالا ببرید. راهکارهای امنیتی ما ماژول‌های آلوده را –که کارشان سرقت اطلاعاتی است- شناسایی می‌کنند. در مورد این سفت‌افزار دستکاری‌شده هم متأسفانه دقیقاً نمی‌دانیم چطور این بوت‌کیت به کامپیوتر قربانیان رخنه کرد. داده‌های نشت‌شده از شرکت HackingTeam اینطور نشان می‌دهد که مهاجمین احتمالاً به دسترسی فیزیکی نیاز داشتند و برای آلوده کردن این دستگاه‌ها از درایو یو‌اس‌بی استفاده کردند. با این حال، متودهای دیگر دستکاری UEFI را نمی‌شود انکار کرد.

برای ایمن ماندن از خطر بوت‌کیت MosaicRegressor UEFI:

•         وبسایت تولیدکننده‌ی کامپیوتر یا مادربورد خود را بررسی کنید تا ببینید آیا سخت‌افزار شما از Intel Boot Guard–که مانع اصلاح غیرقانونی سفت‌افزار UEFI می‌شود- پشتیبانی می‌کند یا خیر.
•         برای اینکه نگذارید بوت‌کیت، پی‌لود خود را نصب کند، از رمزگذاری تمام‌دیسک استفاده کنید.
•         از راهکارهای امنیتی مطمئن که می‌توانند تهدیدهایی با چنین ماهیت را اسکن و شناسایی کنند استفاده نمایید. از سال 2019، محصولات ما قادرند تهدیدهایی را جستجو کنند که خود را در  ROM BIOS و سفت‌افزار UEFI پنهان می‌کنند. در واقع، فناوری اختصاصی Firmware Scanner ما این حمله را برای اولین بار شناسایی نمود.

[1]رابط متحد توسعه‌پذیر سیستم‌عامل

[2]بایوس یا سامانهٔ ورودی

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.