ویروسی قدیمی و عجیب مادربردهای ایسوس و گیگابایت را تهدید می‌کند!

بدون شک درایور، فریمور و نرم افزارهای سخت افزارهای قدیمی مانند مادربردهای مبتنی بر چیپست H81 از نظر امنیتی دیگر چندان مورد توجه کاربران و شرکت ها نیستند؛ اما تصور کنید که به طور ناگهانی درون آنها یک ویروس و بد افزار عجیب کشف می شود که حتی با پاک کردن ویندوز نیز از بین نمی رود! ویروسی که حالا گریبانگیر مادربردهای ایسوس و گیگابایت شده است. با مازستا همراه باشید.

استفاده از اکوسیستم بوت لودرها به منظور نفوذ به سیستم ها توسط هکرها، موردی قدیمی است که در سال های اخیر از لایه های سیستم عامل و CPU بارها مورد استفاده قرار گرفته است. اما استفاده از راه انداز و فریمور مادربردها برای این منظور موردی است که تا کنون مشابه آن دست کم به ثبت نرسیده است.

یک مجموعه امنیتی اینک متوجه شده است که از سال 2016 تا به امروز، یک بدافزار در بوت لودر مادربردهای ASUS و GIGABYTE وجود دارد که با استفاده از فریمور، به بوت UEFI دسترسی پیدا کرده و قادر به کنترل آن است.

به بیان دیگر، حداقل از سال 2016، هکرها از یک روت کیت UEFI استفاده می‌کنند که تقریباً غیرقابل شناسایی در تصاویر فریمور چندین مین برد مدفون شده است.

ویروسی که CosmicStrand نام دارد اکنون بر روی مادربردهای ایسوس و سیستم Firmware گیگابایت کشف شده است. آزمایشگاه کسپرسکی اطلاعات فنی بیشتری در مورد CosmicStrand منتشر کرده است.

به گفته محققان، این ویروس لودر سیستم عامل را سفارشی می کند و کنترل کامل را در دست می گیرد. سپس از یک سرور فرمان و کنترل برای بارگذاری مجدد بدافزار بیشتر استفاده می شود.

به گفته Mark Lechtik، تصاویر سفت‌افزار خراب با یک درایور CSMCORE DXE اصلاح‌شده ارائه شده‌اند که از رویه بوت قدیمی پشتیبانی می‌کند.

به گفته کسپرسکی، روت کیت CosmicStrand UEFI در تصاویر فریمور مادربردهای گیگابایت یا ایسوس با چیپست H81 کشف شده است؛ ویروسی که در ابتدا تصور می شد در سال های 2011 تا 2013 استفاده از آن پایان یافته است.

متاسفانه باید گفت که حذف سیستم عامل و حتی تغییر درایوی که سیستم عامل بر روی آن نصب شده است نیز تغییری در این وضعیت به وجود نخواهد آورد!