Firmware Backdoor در میلیون ها مادربرد رایانه شخصی یافت شد
مجرمان سایبری به طور فزایندهای از یک تاکتیک فریبنده با پنهان کردن برنامههای مخرب در میانافزار UEFI رایانه استفاده میکنند - کد اساسی که مسئول بوت کردن سیستم عامل است. با این حال، زمانی که یک سازنده مادربرد نه تنها درب پشتی مخفی خود را در میانافزار میلیونها رایانه قرار میدهد، بلکه نمیتواند آن ورودی را به درستی ایمن کند، وضعیت نگرانکنندهتر میشود.
اخیراً، تیمی از محققان امنیت سایبری متخصص در سیستمافزار، مکانیزم پنهانی را کشف کردهاند که در میانافزار مادربردهای تولید شده توسط Gigabyte، یک شرکت مشهور تایوانی که به طور گسترده در رایانههای شخصی بازی و رایانههای با کارایی بالا استفاده میشود، جاسازی شده است. پس از راهاندازی مجدد رایانه با مادربرد گیگابایت آسیبدیده، کد پنهان در میانافزار بهطور محتاطانه یک برنامه بهروزرسانی را در رایانه راهاندازی میکند. متعاقباً این برنامه بدون اطلاع یا رضایت کاربر نرم افزار دیگری را دانلود و اجرا می کند.
فهرست مطالب
نیت خوب است، اجرا نه چندان
در حالی که کد پنهان کشف شده در سیستم عامل مادربرد گیگابایت احتمالاً به عنوان ابزاری بی ضرر برای به روز رسانی سیستم عامل در نظر گرفته شده است، محققان نقص های امنیتی قابل توجهی را در اجرای آن شناسایی کرده اند. این آسیبپذیریها خطر بالقوهای را برای سوء استفاده از مکانیسم توسط عوامل مخرب ایجاد میکند، که میتوانند از آن برای نصب بدافزار به جای برنامه گیگابایت مورد نظر استفاده کنند.
پیچیده تر این موضوع این واقعیت است که برنامه به روز رسانی از سیستم عامل کامپیوتر شروع می شود و خارج از قلمرو سیستم عامل کاربر عمل می کند. این امر شناسایی یا حذف کد مشکل ساز را برای کاربران بسیار چالش برانگیز می کند و تأثیر بالقوه آسیب پذیری امنیتی را تشدید می کند.
بیش از 270 مدل درگیر
برای اینکه ببینید آیا مادربرد رایانه شما حاوی درب پشتی مورد نظر است یا خیر، به «شروع» در ویندوز بروید و به «اطلاعات سیستم» دسترسی پیدا کنید.
در حین بررسی کدهای مخرب مبتنی بر سیستم عامل، محققان به کشف مهمی در مورد مکانیسم سیستم عامل مخفی گیگابایت دست یافتند. این یافته به ویژه قابل توجه است زیرا هکرهای پیچیده اغلب از تاکتیک های مشابه استفاده می کنند. با کمال تعجب، اسکنهای تشخیص خودکار محققان، مکانیسم بهروزرسانیکننده گیگابایت را برای درگیر شدن در فعالیتهای مشکوک که یادآور ابزارهای هک حمایتشده دولتی است، علامتگذاری کرد. به طور خاص، این شامل پنهان شدن در میان افزار و اجرای بی سر و صدا برنامه ای بود که کد را از اینترنت دانلود می کند.
مکانیزم بهروزرسانیکننده گیگابایت به تنهایی نگرانیهایی را در میان کاربرانی که نگران نصب کدهای بیصدا از طریق یک ابزار تقریباً نامحسوس هستند، برانگیخته است. علاوه بر این، این ترس واقعی وجود دارد که مکانیسم گیگابایت قربانی سوء استفاده توسط هکرهایی شود که به سازنده مادربرد نفوذ کرده و از دسترسی پنهان آن برای حمله زنجیره تامین نرمافزاری شرور استفاده میکنند. با این حال، تحقیقات اکلیپسیوم افشاگری نگرانکنندهتر را کشف کرد. مکانیسم بهروزرسانی، که برای بهبود تجربه کاربر طراحی شده است، حاوی آسیبپذیریهای آشکاری است که پتانسیل ربوده شدن بدخواهانه را دارند. بهطور تکاندهنده، کد را بدون احراز هویت مناسب بر روی دستگاه کاربر دانلود میکند، و در برخی موارد، حتی از یک اتصال HTTP ناامن به جای HTTPS امنتر استفاده میکند.
این حفره امنیتی شکاف به بازیگران بدخواه اجازه می دهد تا حملات انسان در میان را سازماندهی کنند و به آنها اجازه می دهد تا با جعل منبع نصب، کاربران ناآگاه را فریب دهند. در اصل، حتی یک شبکه Wi-Fi سرکش می تواند به ابزاری برای خطر تبدیل شود، اتصال اینترنت کاربر را قطع کند و یکپارچگی سیستم آنها را به خطر بیندازد.
در موارد دیگر، مکانیزم میانافزار گیگابایت، بهروزرسانیکننده را قادر میسازد تا بارگیریها را از یک دستگاه ذخیرهسازی متصل به شبکه محلی (NAS) واکشی کند. این ویژگی، به ظاهر با هدف تسهیل به روز رسانی در شبکه های تجاری، از دسترسی گسترده به اینترنت توسط همه ماشین ها جلوگیری می کند. با این حال، وقتی این اتفاق میافتد، یک عامل مخرب در همان شبکه میتواند مکان NAS را با فریبکاری دستکاری کند و بهطور مخفیانه بهروزرسانیهای مجاز را با بدافزار خود جایگزین کند.
یک راه حل ممکن است کار کند ... یا نه؟
علیرغم تلاشهای بالقوه گیگابایت برای رسیدگی به مشکل میانافزار، بهروزرسانیهای میانافزار اغلب بهدلیل ماهیت پیچیده فرآیند و چالش همراستایی میانافزار با سختافزار، بهطور بیصدا در دستگاههای کاربران پایان مییابد. این افشاگری با توجه به تعداد زیادی از دستگاه هایی که ممکن است تحت تأثیر قرار گیرند، عمیقاً نگران کننده است. در حالی که گیگابایت احتمالاً هیچ نیت مخرب یا فریبکارانه ای با ابزار سفت افزار مخفی خود نداشته است، آسیب پذیری های امنیتی در کد پنهان زیر سیستم عامل، اعتماد اساسی کاربران به دستگاه هایشان را تضعیف می کند.