مطالب پربازدید

1404/07/10 - 08:30- جنگ سایبری

«حملات تخریبی» به کشور۳ برابر شد/ افشای نام «اهداف اصلی» حملات هکرها

بر اساس داده‌های گزارش سالانه گراف، هوش مصنوعی مولد (GenAI) چشم‌انداز تهدیدات ایران را در سال ۱۴۰۳ دگرگون کرد؛ جایی که حملات با LLMJacking، باج‌افزار و فریب‌های پیشرفته، نهادهای دولتی و آموزشی را در کانون هدف قرار دادند.

1404/08/05 - 14:27- جنگ سایبری

اسرار نظامی و اطلاعات سری پدافند لیزری اسرائیل به دست هکرها افتاد

گروه هکری جبهه پشتیبانی سایبری «الجبهة الإسناد السيبرانية» اعلام کرد که با نفوذ به شرکت نظامی مایا، به اطلاعات محرمانه پدافند پیشرفته لیزری Iron Beam و تعداد زیادی از سلاح‌های پیشرفته اسرائیل دست یافته است.

1404/08/04 - 13:09- جنگ سایبری

افشای اطلاعات حساس وزارت جنگ رژیم صهیونیستی توسط گروه هکری جبهه پشتیبانی سایبری

گروه هکری «الجبهة الإسناد السيبرانية» با نفوذ به شرکت پوششی «مایا» وابسته به وزارت دفاع رژیم صهیونیستی، اطلاعات محرمانه‌ای از پروژه‌های نظامی این رژیم از جمله سامانه دفاع لیزری، پهپاد و موشک‌ها را فاش کرد.

انتشار شده در تاریخ 1397/07/07 - 19:20

بدافزار «LoJax» از سیستم شما بیرون نمی رود

پژوهشگران کمپانی امنیتی «ESET» از دور تازه‌ حملات گروه «Sednit» پرده برداشته‌اند که «Firmware» مادربورد سیستم‌ها و لپ تاپ‌ها را به «RootKit» آلوده می‌کند.

به گزارش کارگروه امنیت سایبربان؛ پژوهشگران نشان داده‌اند دیگر RootKit های UEFI یک تهدید نظری نیستند و در دنیای واقعی هم اکنون وجود دارند. آنها حملات مورد بحث را کار گروه Sednit می‌دانند که با اسم‌های دیگری چون Fancy Bear نیز شناخته می‌شود و به دولت روسیه نسبت داده می‌شود. حالا می دانیم هکرها راهی یافته‌اند تا بتوان تراشه حافظه BIOS مادربرد را به بدافزار آلوده کرد. با آلوده شدن تراشه حافظه نگه دارنده UEFI که به عنوان SPI Flash شناخته می شود، با هر بار راه اندازی سیستم بدافزارها بارگذاری می‌شوند و عملاً راه دیگری جز فلش زدن Firmware سالم برای پاک کردن آن وجود ندارد.

بدافزار مورد بحث که LoJax نام گرفته، یک فایل اجرایی به نام autochk.exe را به تراشه حافظه Firmware مادربرد تزریق می‌کند، پس از آن هنگام راه اندازی سیستم، autochk.exe بر روی یک پارتیشن از حافظه‌های ذخیره سازی متصل به سیستم کپی می‌شود. در نهایت autochk.exe در مراحل آغازین بارگذاری ویندوز اجرا می‌شود و کارکرد آن آلوده کردن سیستم به بدافزارهای مورد نظر حمله کننده است. در واقع autochk.exe فاقد هرگونه کُد مخرب است اما به عنوان Dropper برای بدافزارها عمل می کند.

مجموعه بدافزار LoJax که از چندین کامپوننت مختلف تشکیل شده، از یک درایور سطح هسته سیستم عامل به نام RwDrv استفاده می‌کند که در اصل متعلق به یک برنامه بی خطر به نام RWEverything است. در حقیقت هکرها از درایور سیستمی RWEverything که از امضای دیجیتال معتبر برخوردار است برای دست‌کاری Firmware سیستم‌ها سوء استفاده می‌کنند. اگر ساده تر بخواهیم بگوییم، در این حمله محتوای تراشه حافظه BIOS به طور کامل استخراج می‌شود، پس از تزریق فایل مخرب autochk.exe به آن، مجدداً در تراشه حافظه نوشته می‌شود که حاصل آن ماندگاری بدافزار و اجرای آن با هر بار راه اندازی سیستم است.
به گفته ESET در حال حاضر هیچ راه قطعی دیگری جز فلش زدن یک نسخه دست‌کاری نشده از Firmware مادربرد سیستم وجود ندارد که آن هم در وجود بدافزار می‌تواند مجدداً آلوده شود، از این رو باید سیستم کاربر به یک آنتی ویروس به روز که قادر به تشخیص LoJax است مجهز باشد. خبر خوب اینکه فعال کردن قابلیت Secure Boot از طریق BIOS UEFI مادربرد می‌تواند اغلب مواقع از اجرای autochk.exe جلوگیری کند. قابلیت یاد شده مانع از بارگذاری هر گونه Firmware دستکاری‌شده و فاقد امضای دیجیتال می‌شود.

برخی کامپیوترهای دولتی در کشورهای حوزه بالکان، مرکز و شرق اروپا، جزو قربانیان این بدافزار هستند.