گزارش کسپرسکی از نحوه انتشار بدافزار روت‌کیت نشان داد

انتقال آسیب‌پذیری لپ‌تاپ‌های لنوو به ایران

  • توسط نویسنده
  • ۴ ماه پیش
  • ۰

عصر ارتباط – آسیه فروردین – محققان کشف کردند روت‌کیت (RootKit) مرموز ویندوز از سال 2016 به طور فعال مورد
بهره برداری قرار گرفته است. روت‌کیت مجموعه‌ای از نرم‌افزارهاست که کنترل یک سیستم رایانه‌ای را به دست می‌گیرد. در این نوع حمله، کاربر سیستم، متوجه حضور روت‌کیت نخواهد شد و هکر، توانایی تغییر تمام تنظیمات رایانه را دارد.

قربانیان: کدام کشورها؟ کدام لپ‌تاپ‌ها؟

به گفته کارشناسان کسپرسکی، روت‌کیت در داخل تصویر سیستم عامل مادربردهای قدیمی ایسوس و گیگابایت جاسازی شده است.
بر این اساس، تصویر یک روت‌کیت مرموز و قدرتمند کشف شده که گفته می‌شود از سال 2016 مخفی مانده و در حملات از آن، سوءاستفاده شده است. محققان کسپرسکی می‌گویند روت کیت UEFI روی تعدادی از دستگاه‌های قربانیان در سراسر چین، روسیه، ایران و ویتنام پیدا شده است.
گفته می‌شود میلیون‌ها لپ‌تاپ لنوو در برابر حملات بدافزار تازه کشف‌شده UEFI آسیب‌پذیر هستند و این مورد با روت‌کیت LoJax UEFI به رایانه‌های دولتی نفوذ می‌کند.

توسعه حملاتی مشابه روت‌کیت در آینده

روت‌کیت مخرب در مادربردهای ایسوس و گیگابایت یافت شد که در آن، چیپست H81 را به اشتراک گذاشته بودند. این موضوع که بین سال‌های 2013 و 2015 منتشر شد، نشان می‌دهد ممکن است آسیب‌پذیری مشترکی در این تجهیزات وجود داشته باشد که البته تا حد زیادی متوقف شده است. بدافزار UEFI چندان رایج نیست اما در سال‌های اخیر، افزایش جزئی در حملات، با تحقیقات بیشتر کمپین‌هایی مانند MoonBounce و LoJax. مشاهده شده است.‌کسپرسکی پیش‌بینی می‌کند حملاتی مشابه آن، در سال‌های آینده افزایش می‌یابد. گزارش منتشره توسط دولت ایالات متحده در فوریه 2022 نشان ‌داد چگونه توسعه بدافزار UEFI روند هشداردهنده‌ بوده است.
روت‌کیت‌ها، ابزار جذابی برای مهاجمان هستند و یافتن آنها و تحقیق درباره آنها واقعا دشوار است، زیرا در تصویر میان‌افزار مادربرد تعبیه شده‌اند. به همین دلیل، آنها به واسطه خطر شناسایی کمتر، قابلیت‌های قابل‌توجهی در اختیار مهاجمان قرار می‌دهند.
بر اساس این گزارش، احتمالاً رایانه برای همیشه به روت‌کیت آلوده می‌شود. محققان نتوانستند تشخیص دهند قربانیان، ابتدا چگونه آلوده شده‌اند اما بر اساس ادعای تحقیقات قبلی Qihoo360 درباره یک نوع اولیه کشف‌شده در سال 2017، ممکن است قربانی، یک مادربرد آلوده را از یک تاجر دست دوم خریداری کرده باشد؛ اگرچه این مورد، تأیید نشده است. محققان می‌گویند ایجاد یک روت‌کیت با این کیفیت، بسیار دشوار است؛ به‌ویژه به این دلیل که زمینه اجرای UEFI قبل از بارگیری ویندوز پایان می‌یابد و انتقال کد UEFI به ویندوز را دشوارتر می‌کند.

ورود روت‌کیت به رایانه اشخاص عادی

کارشناسان معتقدند با توجه به تخصص فنی موردنیاز برای طراحی بدافزار، نکته جالب‌ این است که قربانیان، افراد خصوصی‌ای هستند که به هیچ سازمان یا صنعتی، وابسته نیستند. این در حالی است که معمولاً توسعه‌دهندگان بدافزار، افراد خاص را به منظور استخراج اطلاعات، هدف قرار می‌دهند یا باج‌افزارها را در کمپین‌های مالی مستقر می‌کنند.
این زنجیره تخریب CosmicStrand ایمپلنت در سطح هسته، هر بار که سیستم عامل (OS) بارگیری می‌شود، یک جزء مخرب را در ویندوز مستقر می‌کند. پس از تکمیل زنجیره تخریب و اتصال ایمپلنت به زیرساخت C2 مجرم سایبری، مهاجمان می‌توانند کدهای مخرب را برای جمع‌آوری در کد پوسته تغذیه کنند.
بر این اساس، کسپرسکی می‌تواند نمونه‌ای از این پوسته‌کد را بگیرد و تجزیه و تحلیل کند اما معتقد است تعداد بیشتری از این کدها وجود دارند که قادر به یافتن آن‌ نبوده‌ است.
با بررسی انجام‌شده، به نظر می‌رسد کد سعی می‌کند یک کاربر جدید در دستگاه قربانی ایجاد کند. محققان می‌گویند از روی کدهای پوسته، می‌توان استنباط کرد آنها ممکن است مرحله‌ای برای فایل‌های اجرایی قابل حمل ارائه‌شده توسط مهاجم باشند؛ یعنی یک فرمت فایل ویندوز که کدهای اجرایی، کتابخانه‌های پیوند پویا (DLL) و سایر کدها را برای استفاده بعدی لحاظ می‌کند.

آیا پای چین در میان است؟

محققان می‌گویند مطمئن نیستند این حمله را به چه کسی یا چه گروهی نسبت دهند اما شواهدی وجود دارد که نشان می‌دهد یک عامل تهدید چینی‌زبان می‌تواند پشت آن باشد. دلیل اصلی کسپرسکی برای این ادعا، شباهت برخی از کدها، بین CosmicStrand و بات‌نت MyKings است. در سال 2020، محققان با توجه به ESET، اعلام کردند در آن زمان، متوجه چندین اثر باستانی شده‌اند که زبان چینی را نشان می‌داد و اینکه CosmicStrand و MyKings از یک روت کیت MBR برای ایجاد پایداری استفاده و هر دو بسته‌های شبکه را به یک روش تولید می‌کنند و کدهای API نیز یکسان است.
الگوریتم مورداستفاده در این قسمت، تنها دو بار توسط کسپرسکی مشاهده شده است. با توجه به MoonBounce و xTalker – که هر دو به عوامل تهدید چینی‌زبان مرتبط هستند، محققان می‌گویند: «روت‌کیت‌های متعددی که تاکنون کشف شده‌اند، بیانگر یک نقطه کور در صنعت هستند که باید زودتر برطرف شوند.» نکته جالب‌تر گزارش این است که ایمپلنت UEFI از اواخر سال 2016 استفاده شده است. این کشف، آخرین سؤال را مطرح می‌کند: «اگر مهاجمان در آن زمان، از روت‌کیت استفاده می‌کردند، امروز از چه‌چیزی استفاده می‌کنند؟»


  • facebook
  • googleplus
  • twitter
  • linkedin
  • linkedin