کمیته رکن چهارم – پژوهشگران کمپانی امنیتی «ESET» از دور تازه حملات گروه «Sednit» پرده برداشتهاند که «Firmware» مادربورد سیستمها و لپ تاپها را به «RootKit» آلوده میکند.
پژوهشگران نشان دادهاند دیگر RootKit های UEFI یک تهدید نظری نیستند و در دنیای واقعی هم اکنون وجود دارند. آنها حملات مورد بحث را کار گروه Sednit میدانند که با اسمهای دیگری چون Fancy Bear نیز شناخته میشود و به دولت روسیه نسبت داده میشود. حالا می دانیم هکرها راهی یافتهاند تا بتوان تراشه حافظه BIOS مادربرد را به بدافزار آلوده کرد. با آلوده شدن تراشه حافظه نگه دارنده UEFI که به عنوان SPI Flash شناخته می شود، با هر بار راه اندازی سیستم بدافزارها بارگذاری میشوند و عملاً راه دیگری جز فلش زدن Firmware سالم برای پاک کردن آن وجود ندارد.
بدافزار مورد بحث که LoJax نام گرفته، یک فایل اجرایی به نام autochk.exe را به تراشه حافظه Firmware مادربرد تزریق میکند، پس از آن هنگام راه اندازی سیستم، autochk.exe بر روی یک پارتیشن از حافظههای ذخیره سازی متصل به سیستم کپی میشود. در نهایت autochk.exe در مراحل آغازین بارگذاری ویندوز اجرا میشود و کارکرد آن آلوده کردن سیستم به بدافزارهای مورد نظر حمله کننده است. در واقع autochk.exe فاقد هرگونه کُد مخرب است اما به عنوان Dropper برای بدافزارها عمل می کند.
مجموعه بدافزار LoJax که از چندین کامپوننت مختلف تشکیل شده، از یک درایور سطح هسته سیستم عامل به نام RwDrv استفاده میکند که در اصل متعلق به یک برنامه بی خطر به نام RWEverything است. در حقیقت هکرها از درایور سیستمی RWEverything که از امضای دیجیتال معتبر برخوردار است برای دستکاری Firmware سیستمها سوء استفاده میکنند. اگر ساده تر بخواهیم بگوییم، در این حمله محتوای تراشه حافظه BIOS به طور کامل استخراج میشود، پس از تزریق فایل مخرب autochk.exe به آن، مجدداً در تراشه حافظه نوشته میشود که حاصل آن ماندگاری بدافزار و اجرای آن با هر بار راه اندازی سیستم است.
به گفته ESET در حال حاضر هیچ راه قطعی دیگری جز فلش زدن یک نسخه دستکاری نشده از Firmware مادربرد سیستم وجود ندارد که آن هم در وجود بدافزار میتواند مجدداً آلوده شود، از این رو باید سیستم کاربر به یک آنتی ویروس به روز که قادر به تشخیص LoJax است مجهز باشد. خبر خوب اینکه فعال کردن قابلیت Secure Boot از طریق BIOS UEFI مادربرد میتواند اغلب مواقع از اجرای autochk.exe جلوگیری کند. قابلیت یاد شده مانع از بارگذاری هر گونه Firmware دستکاریشده و فاقد امضای دیجیتال میشود.
برخی کامپیوترهای دولتی در کشورهای حوزه بالکان، مرکز و شرق اروپا، جزو قربانیان این بدافزار هستند.
