مرکز امنیت و‌ رخدادهای‌ سایبری | APK

معرفی بدافزار LoJax در سطح Firmware

معرفی بدافزار LoJax در سطح Firmware

محققان کمپانی امنیت سایبری ESET یک حمله‌ی گسترده‌ی بدافزاری را کشف نموده‌اند که می‌تواند Firmware تجهیزات را آلوده نماید. این بدافزار، تنها بدافزار شناخته شده‌ای است که توانایی تغییر در Firmware را دارد و با توجه به ویژگی های مشاهده شده در این بدافزار، آن را به گروه هکر معروف روسی یعنی APT28 نسبت داده‌اند. براساس این گزارش، این بدافزار که LoJax نام‌گذاری شده است، می‌تواند با آلوده‌سازی Unified Extensible Firmware Interface یا به اصطلاح UEFI یک دستگاه، به‌عنوان کلید ورود به کل کامپیوتر عمل نماید.

شرکت ESET توضیح می‌دهد که Rootkitهای Firmware همچون LoJax در گذشته در حالت تئوریک به آزمایش درآمده‌اند و احتمال می‌دهند که توسط دولت برخی کشورها در حال استفاده باشند، اما موردی مشاهده نشده است که در بطور عمومی در دسترس باشد. لازم به ذکر است که شناسایی این نوع بدافزار بسیار مشکل است و با توجه به قابلیت ماندگاری پیشرفته، می‌تواند پس از نصب دوباره‌ی یک سیستم و حتی تعویض هارد درایو دوباره فعال گردد.

اگر نام LoJax برایتان آشنا به‌نظر می‌رسد، به این دلیل است که این بدافزار روش‌های ماندگاری نرم‌افزار ضدسرقت LoJack را تقلید می‌نماید که خود در بدافزار ساخته‌ی گروه APT28 مورد استفاده قرار گرفته است. گروه APT28، که آن را با نام Sednit و همچنین Fancy Bear یا Sofacy هم می شناسند، به دلیل حملاتی که به کمیته‌ی ملی دموکرات پیش از انتخابات سال 2016 و همچنین تعداد دیگری حمله به سازمان‌های اروپایی انجام گردید به شهرت رسید.

به‌ گفته‌ی محقق ESET، آقای ژان‌لان بوتین، در یک خبر اعلام نمود، علی‌رغم اینکه این کمپانی به وجود Rootkitهای UEFI در حد تئوری آگاه بوده است، شناسایی LoJax این امر را تأیید می‌نماید که از این نوع بدافزار توسط یک گروه فعال در بدافزارهای ماندگار و پیشرفته استفاده می‌گردد. این نوع از حملات که UEFI را هدف قرار می‌دهند تهدیدی بسیار جدی هستند و تمام سازمان‌هایی که در هدف Sednit (یا همان Fancy Bear و APT28) قرار دارند باید شبکه‌ها و دستگاه‌هایشان را با دقت، زیر نظر داشته باشند.

محققان می‌گویند که شاهد استفاده از LoJax برای هدف قرار دادن سازمان‌های دولتی در بالکان و اروپای مرکزی و شرقی بوده‌اند. ESET با اطمینان قوی این بدافزار را به APT28 ربط داده است چرا که این گروه از ابزار خاصی همچون Custom Backdoor و ابزار پروکسی شبکه استفاده می‌نماید.  تحقیقات نشان می‌دهد حداقل یک مورد را کشف شده که در آن بدافزار LoJax با موفقیت توانسته یک ماژول مخرب UEFI در Flash Memory سیستم هدف بنویسد.

با توجه به اینکه LoJax به درستی Sign نشده است و می‌توان توسط یک Secure Boot آن را بلاک نمود، توصیه می شود که آنرا فعال کرد؛ انجام اینکار باعث می‌شود که تمام اجزاء یک Firmware یک سیستم به‌درستی به فعالیت بپردازند. البته جهت حذف کامل LoJax از روی سیستم باید Firmware آنرا فلش نمود که با توجه به آنکه این فرآیند پیچیده می‌باشد، بسیاری از متخصصان کامپیوتر نیز با تمام مراحل آن آشنایی ندارند. راهکار جایگزین دیگر تعویض مادربورد می‌باشد.

به گفته‌ی آقای بوتین، هیچ دلیلی برای مستثنی نمودن Firmware از اسکن‌های مداوم وجود ندارد. حملات انجام شده بر روی UEFI به‌شدت نادر هستند و تا پیش از کشف این بدافزار، اکثراً به دست‌کاری فیزیکی در کامپیوتر هدف ختم می‌شده‌اند. با این‌حال، در صورت موفقیت چنین حمله‌ای، کنترل کامل سیستم  با ماندگاری تقریباً کامل به دست مهاجم می‌افتد.

اشتراک امنیت

آخرین پست ها

دسته ها