استفاده هکرهای Hacking Team از رابط UEFI

به دنبال هک شدن شرکت مشهور ایتالیایی Hacking Team و انتشار تمام ایمیل ها و مدارک سازمانی این شرکت، پرده از وجود جاسوس افزاری برداشته شده که قادر است با دست درازی به Unified Extensible Firmware Interfaceو(UEFI)، بی سر و صدا و بدون جلب توجه کاربر، در صورت Format شدن و یا حتی جایگزین شدن دیسک سخت همچنان بر روی سیستم قربانی فعال باقی بماند.

بر اساس یکی از اسناد فاش شده شرکت Hacking Team، این جاسوس افزار برای Insyde BIOS که BIOS استفاده شده در بسیاری لپ تاپ ها است، طراحی شده. اما برخی محققان امنیتی بر این باورند که امکان اجرای آن بر روی AMI BIOS نیز میسر می باشد.

UEFI یک ویژگی نرم‌افزاری رابط بین سیستم‌عامل و بستر سخت افزاری است. این ویژگی جایگزین رابط سخت‌افزار BIOS است. ویژگی UEFI، تمامی خدمات BIOS را پشتیبانی می‌کند. به وسیله این ویژگی می‌توان عیب یابی و تعمیرات (یا تنظیمات امنیتی) را بدون نیاز به هیچگونه سیستم‌عاملی انجام داد.

برای آلوده ساختن UEFI بر روی دستگاه قربانی، نفوذگر باید دستگاه را در حالت UEFI Shell راه اندازی کرده و سپس جاسوس افزار را بر روی سفت افزار (Firmware) بنویسد. بنابراین اجرای موفقیت آمیز این جاسوس افزار مستلزم داشتن دسترسی فیزیکی به کامپیوتر قربانی است. هر چند که برخی معتقدند اجرای از راه دور نیز در برخی بسترها امکان پذیر است.

برای مقابله با این گونه بدافزارها می توان از روش هایی نظیر فعال نمودن UEFI SecureFlash، به روز رسانی BIOS به محض ارائه اصلاحیه امنیتی و قرار دادن گذرواژه بر روی BIOS و UEFI استفاده کرد.

ماندگار بودن و ادامه دسترسی به سیستم قربانی، اصلی ترین دلیل علاقه نفوذگران حرفه ای به بکارگیری بدافزارهای مبتنی بر سفت افزارهایی همچون BIOS و UEFI است. ایمیل های ردوبدل شده بین کارکنان شرکت Hacking Team نشان می دهد از سال 2009 هر نوع مقاله منتشر شده در خصوص BIOS و UEFI توسط این کارکنان بررسی شده است.