عصر ارتباط – آسیه فروردین – محققان کشف کردند روتکیت (RootKit) مرموز ویندوز از سال 2016 به طور فعال مورد
بهره برداری قرار گرفته است. روتکیت مجموعهای از نرمافزارهاست که کنترل یک سیستم رایانهای را به دست میگیرد. در این نوع حمله، کاربر سیستم، متوجه حضور روتکیت نخواهد شد و هکر، توانایی تغییر تمام تنظیمات رایانه را دارد.
قربانیان: کدام کشورها؟ کدام لپتاپها؟
به گفته کارشناسان کسپرسکی، روتکیت در داخل تصویر سیستم عامل مادربردهای قدیمی ایسوس و گیگابایت جاسازی شده است.
بر این اساس، تصویر یک روتکیت مرموز و قدرتمند کشف شده که گفته میشود از سال 2016 مخفی مانده و در حملات از آن، سوءاستفاده شده است. محققان کسپرسکی میگویند روت کیت UEFI روی تعدادی از دستگاههای قربانیان در سراسر چین، روسیه، ایران و ویتنام پیدا شده است.
گفته میشود میلیونها لپتاپ لنوو در برابر حملات بدافزار تازه کشفشده UEFI آسیبپذیر هستند و این مورد با روتکیت LoJax UEFI به رایانههای دولتی نفوذ میکند.
توسعه حملاتی مشابه روتکیت در آینده
روتکیت مخرب در مادربردهای ایسوس و گیگابایت یافت شد که در آن، چیپست H81 را به اشتراک گذاشته بودند. این موضوع که بین سالهای 2013 و 2015 منتشر شد، نشان میدهد ممکن است آسیبپذیری مشترکی در این تجهیزات وجود داشته باشد که البته تا حد زیادی متوقف شده است. بدافزار UEFI چندان رایج نیست اما در سالهای اخیر، افزایش جزئی در حملات، با تحقیقات بیشتر کمپینهایی مانند MoonBounce و LoJax. مشاهده شده است.کسپرسکی پیشبینی میکند حملاتی مشابه آن، در سالهای آینده افزایش مییابد. گزارش منتشره توسط دولت ایالات متحده در فوریه 2022 نشان داد چگونه توسعه بدافزار UEFI روند هشداردهنده بوده است.
روتکیتها، ابزار جذابی برای مهاجمان هستند و یافتن آنها و تحقیق درباره آنها واقعا دشوار است، زیرا در تصویر میانافزار مادربرد تعبیه شدهاند. به همین دلیل، آنها به واسطه خطر شناسایی کمتر، قابلیتهای قابلتوجهی در اختیار مهاجمان قرار میدهند.
بر اساس این گزارش، احتمالاً رایانه برای همیشه به روتکیت آلوده میشود. محققان نتوانستند تشخیص دهند قربانیان، ابتدا چگونه آلوده شدهاند اما بر اساس ادعای تحقیقات قبلی Qihoo360 درباره یک نوع اولیه کشفشده در سال 2017، ممکن است قربانی، یک مادربرد آلوده را از یک تاجر دست دوم خریداری کرده باشد؛ اگرچه این مورد، تأیید نشده است. محققان میگویند ایجاد یک روتکیت با این کیفیت، بسیار دشوار است؛ بهویژه به این دلیل که زمینه اجرای UEFI قبل از بارگیری ویندوز پایان مییابد و انتقال کد UEFI به ویندوز را دشوارتر میکند.
ورود روتکیت به رایانه اشخاص عادی
کارشناسان معتقدند با توجه به تخصص فنی موردنیاز برای طراحی بدافزار، نکته جالب این است که قربانیان، افراد خصوصیای هستند که به هیچ سازمان یا صنعتی، وابسته نیستند. این در حالی است که معمولاً توسعهدهندگان بدافزار، افراد خاص را به منظور استخراج اطلاعات، هدف قرار میدهند یا باجافزارها را در کمپینهای مالی مستقر میکنند.
این زنجیره تخریب CosmicStrand ایمپلنت در سطح هسته، هر بار که سیستم عامل (OS) بارگیری میشود، یک جزء مخرب را در ویندوز مستقر میکند. پس از تکمیل زنجیره تخریب و اتصال ایمپلنت به زیرساخت C2 مجرم سایبری، مهاجمان میتوانند کدهای مخرب را برای جمعآوری در کد پوسته تغذیه کنند.
بر این اساس، کسپرسکی میتواند نمونهای از این پوستهکد را بگیرد و تجزیه و تحلیل کند اما معتقد است تعداد بیشتری از این کدها وجود دارند که قادر به یافتن آن نبوده است.
با بررسی انجامشده، به نظر میرسد کد سعی میکند یک کاربر جدید در دستگاه قربانی ایجاد کند. محققان میگویند از روی کدهای پوسته، میتوان استنباط کرد آنها ممکن است مرحلهای برای فایلهای اجرایی قابل حمل ارائهشده توسط مهاجم باشند؛ یعنی یک فرمت فایل ویندوز که کدهای اجرایی، کتابخانههای پیوند پویا (DLL) و سایر کدها را برای استفاده بعدی لحاظ میکند.
آیا پای چین در میان است؟
محققان میگویند مطمئن نیستند این حمله را به چه کسی یا چه گروهی نسبت دهند اما شواهدی وجود دارد که نشان میدهد یک عامل تهدید چینیزبان میتواند پشت آن باشد. دلیل اصلی کسپرسکی برای این ادعا، شباهت برخی از کدها، بین CosmicStrand و باتنت MyKings است. در سال 2020، محققان با توجه به ESET، اعلام کردند در آن زمان، متوجه چندین اثر باستانی شدهاند که زبان چینی را نشان میداد و اینکه CosmicStrand و MyKings از یک روت کیت MBR برای ایجاد پایداری استفاده و هر دو بستههای شبکه را به یک روش تولید میکنند و کدهای API نیز یکسان است.
الگوریتم مورداستفاده در این قسمت، تنها دو بار توسط کسپرسکی مشاهده شده است. با توجه به MoonBounce و xTalker – که هر دو به عوامل تهدید چینیزبان مرتبط هستند، محققان میگویند: «روتکیتهای متعددی که تاکنون کشف شدهاند، بیانگر یک نقطه کور در صنعت هستند که باید زودتر برطرف شوند.» نکته جالبتر گزارش این است که ایمپلنت UEFI از اواخر سال 2016 استفاده شده است. این کشف، آخرین سؤال را مطرح میکند: «اگر مهاجمان در آن زمان، از روتکیت استفاده میکردند، امروز از چهچیزی استفاده میکنند؟»