محققان کمپانی امنیت سایبری ESET یک حملهی گستردهی بدافزاری را کشف نمودهاند که میتواند Firmware تجهیزات را آلوده نماید. این بدافزار، تنها بدافزار شناخته شدهای است که توانایی تغییر در Firmware را دارد و با توجه به ویژگی های مشاهده شده در این بدافزار، آن را به گروه هکر معروف روسی یعنی APT28 نسبت دادهاند. براساس این گزارش، این بدافزار که LoJax نامگذاری شده است، میتواند با آلودهسازی Unified Extensible Firmware Interface یا به اصطلاح UEFI یک دستگاه، بهعنوان کلید ورود به کل کامپیوتر عمل نماید.
شرکت ESET توضیح میدهد که Rootkitهای Firmware همچون LoJax در گذشته در حالت تئوریک به آزمایش درآمدهاند و احتمال میدهند که توسط دولت برخی کشورها در حال استفاده باشند، اما موردی مشاهده نشده است که در بطور عمومی در دسترس باشد. لازم به ذکر است که شناسایی این نوع بدافزار بسیار مشکل است و با توجه به قابلیت ماندگاری پیشرفته، میتواند پس از نصب دوبارهی یک سیستم و حتی تعویض هارد درایو دوباره فعال گردد.
اگر نام LoJax برایتان آشنا بهنظر میرسد، به این دلیل است که این بدافزار روشهای ماندگاری نرمافزار ضدسرقت LoJack را تقلید مینماید که خود در بدافزار ساختهی گروه APT28 مورد استفاده قرار گرفته است. گروه APT28، که آن را با نام Sednit و همچنین Fancy Bear یا Sofacy هم می شناسند، به دلیل حملاتی که به کمیتهی ملی دموکرات پیش از انتخابات سال 2016 و همچنین تعداد دیگری حمله به سازمانهای اروپایی انجام گردید به شهرت رسید.
به گفتهی محقق ESET، آقای ژانلان بوتین، در یک خبر اعلام نمود، علیرغم اینکه این کمپانی به وجود Rootkitهای UEFI در حد تئوری آگاه بوده است، شناسایی LoJax این امر را تأیید مینماید که از این نوع بدافزار توسط یک گروه فعال در بدافزارهای ماندگار و پیشرفته استفاده میگردد. این نوع از حملات که UEFI را هدف قرار میدهند تهدیدی بسیار جدی هستند و تمام سازمانهایی که در هدف Sednit (یا همان Fancy Bear و APT28) قرار دارند باید شبکهها و دستگاههایشان را با دقت، زیر نظر داشته باشند.
محققان میگویند که شاهد استفاده از LoJax برای هدف قرار دادن سازمانهای دولتی در بالکان و اروپای مرکزی و شرقی بودهاند. ESET با اطمینان قوی این بدافزار را به APT28 ربط داده است چرا که این گروه از ابزار خاصی همچون Custom Backdoor و ابزار پروکسی شبکه استفاده مینماید. تحقیقات نشان میدهد حداقل یک مورد را کشف شده که در آن بدافزار LoJax با موفقیت توانسته یک ماژول مخرب UEFI در Flash Memory سیستم هدف بنویسد.
با توجه به اینکه LoJax به درستی Sign نشده است و میتوان توسط یک Secure Boot آن را بلاک نمود، توصیه می شود که آنرا فعال کرد؛ انجام اینکار باعث میشود که تمام اجزاء یک Firmware یک سیستم بهدرستی به فعالیت بپردازند. البته جهت حذف کامل LoJax از روی سیستم باید Firmware آنرا فلش نمود که با توجه به آنکه این فرآیند پیچیده میباشد، بسیاری از متخصصان کامپیوتر نیز با تمام مراحل آن آشنایی ندارند. راهکار جایگزین دیگر تعویض مادربورد میباشد.
به گفتهی آقای بوتین، هیچ دلیلی برای مستثنی نمودن Firmware از اسکنهای مداوم وجود ندارد. حملات انجام شده بر روی UEFI بهشدت نادر هستند و تا پیش از کشف این بدافزار، اکثراً به دستکاری فیزیکی در کامپیوتر هدف ختم میشدهاند. با اینحال، در صورت موفقیت چنین حملهای، کنترل کامل سیستم با ماندگاری تقریباً کامل به دست مهاجم میافتد.
