کسپرسکی موفق به کشف بدافزار پیچیده MosaicRegressor شد

محققان کسپرسکی موفق به کشف بدافزاری مبتنی بر UEFI شدند که MosaicRegressor نام دارد.

محققان شرکت امنیتی کسپرسکی تاکنون با بدافزارهای مخرب بسیاری روبه‌رو شده‌اند، اما به ندرت مواردی مانند MosaicRegressor را دیده‌اند. براساس آخرین پست منتشر شده در سایت شرکت مذکور، این دومین بدافزار شناخته شده مبتنی بر UEFI است و این مسئله از محدود بودن مدل‌های مختلف آن خبر می‌دهد. این نرم‌افزار مخرب می‌تواند به دستگاه کاربران آسیب برساند، اما خبر خوب این است که شما احتمالا نباید نگران آلوده‌شدن به آن باشید.

قطعه Unified Extensible Firmware Interface یا به اختصار EUFI درواقع چیزی است که در مادربرد رایانه شما زندگی می‌کند. این قطعه اولین چیزی است که پس راه‌اندازی سیستم روشن می‌شود و این امکان را دارد که تقریبا به همه قسمت‌های سیستم‌عامل دسترسی داشته باشد. متاسفانه اگر دستگاهی به آن آلوده شود،‌ این بدافزار کار خود را در آن حتی پس از راه‎اندازی مجدد، فرمت کردن و جایگزینی قطعات نیز ادامه خواهد داد. ازآنجاکه UEFI روی تراشه حافظه فلشی قرار دارد که روی برد دستگاه لحیم شده است، پیدا کردن این بدافزار بسیار دشوار و پاکسازی آن نیز به مراتب سخت‌تر است.

بنابراین اگر می‌خواهید به اطلاعات یک سیستم‌ دسترسی داشته باشید و تقریبا کسی نتواند متوجه این مسئله شود، UEFI بهترین گزینه است. اما مشکلی در این‌جا برای سودجویان وجود دارد، زیرا وارد کردن کد مخرب به سیستم‌های UEFI بسیار دشوار است. بااین‌حال، کسپرسکی در سال ۲۰۱۹ یک اسکنر مخصوص را به نرم‌افزارهای آنتی‌ویروس‌ خود اضافه کرد. اکنون این شرکت می‌گوید دومین نمونه شناخته شده بدافزار UEFI را که MosaicRegressor نامیده می‌شود، شناسایی کرده است. این خبر خوبی برای کاربران خواهد بود زیرا اکنون دیگر نیازی نیست نگران استفاده سودجویان از این بدافزار باشند.

بدافزار MosaicRegressor تنها در دو رایانه مقامات دیپلماتیک آسیایی دیده شده است
این بدافزار تاکنون تنها در دو رایانه کشف شده است که هر دوی آن‌ها نیز متعلق به مقامات دیپلماتیک آسیایی بودند. کارهایی که مهاجمان می‌توانند به‌وسیله این بدافزار انجام دهند بسیار متنوع است. به‌طور کلی می‌توان آن را یکی از مخرب‌ترین اعضای خانواده خود دانست، زیرا امکانات زیادی را دراختیار سودجو قرار می‌دهد و او می‌تواند اطلاعات بسیاری را به‌وسیله آن از سیستم قربانی استخراج کند. همه اتفاقاتی که توسط این بدافزار رخ می‌دهد از لحظه‌ی بوت شدن دستگاه آغاز می‌شود. با هر مرتبه روشن شدن دستگاه، UEFI بررسی می‌کند که آیا فایل IntelUpdate.exe در پوشه راه اندازی ویندوز وجود دارد؛ اگر بود که سیستم به کار خود ادامه می‌دهد اما در غیر این صورت فایل مدنظر به پوشه مذکور اضافه می‌شود. درواقع این فایل را می‌توان دروازه‌ای برای ورود MosaicRegressor به اطلاعات کاربر دانست.

هنوز اطلاعات کاملی از همه قابلیت‌های این بدافزار دردسترس نیست زیرا کسپرسکی تنها موفق به جمع‌آوری تعداد انگشت‌‌شماری از ماژول‌های آن بوده است. این تیم تأیید کرده است که MosaicRegressor می‌تواند اسناد موجود در سیستم‌های آلوده را از بین ببرد.

پس از انجام جست‌جوهای دقیق‌تر، محققان کسپرسکی اعلام کردند که به‌نظر می‌رسد این حمله از سوی یک فرد یا گروه چینی زبان صورت گرفته است. البته شاید این گروه از این زبان برای گمراه کردن محققان استفاده کرده‌اند. متاسفانه تیم این شرکت موفق به فهمیدن چگونگی عملکرد UEFI نشده‌ اما با بررسی بدافزار ۲۰۱۵ UEFI  حدس‌های علمی درباره آن زده است.

از آن‌جایی که این نرم‌افزار مخرب برای شروع کار خود نیاز به دسترسی فیزیکی دارد، به‌نظر می‌رسد تنها دستگاه کسانی که هدف قرار گرفته‌اند آلوده می‌شود و افراد دیگر ایمن هستند. البته هنوز مشخص نیست که آیا این کار توسط یک گروه حرفه‌ای برای یک پروژه خاص انجام شده است یا دلایل دیگری دارد. نظر شما کاربران زومیت درباره بدافزار  MosaicRegressor چیست؟