راهکار McAfee برای تشخیص وجود درب‌پشتی‌ CIA بر روی UEFI

در پی درز اسناد محرمانه‌ای در خصوص ابزارهای هک مورد استفاده سازمان اطلاعات مرکزی آمریکا (CIA)، شرکت McAfeeو(Intel Security)، راهکاری را برای پویش UEFI دستگاه به‌منظور بررسی وجود کد مخرب بر روی آن عرضه کرده است.

سه شنبه، 17 اسفند ماه، سازمان افشاگر WikiLeaks اقدام به انتشار اسنادی سری کرد که در آنها ابزارهای مورد استفاده در عملیات‌های سایبری سازمان اطلاعات مرکزی آمریکا تشریح شده‌اند. برخی از این اسناد نشان می‌دهند که این سازمان با بهره‌جویی از آسیب‌پذیری‌هایی روز صفر، کد مخرب را مستقیماً به ثابت‌افزار (Firmware) دستگاه‌ها از جمله  UEFI تزریق می‌کند. موفقیت در بکارگیری این روش، به‌معنای ماندگاری کد مخرب بر روی دستگاه حتی پس از فرمت شدن و نصب مجدد سیستم عامل است.

UEFI یک ویژگی نرم‌افزاری رابط بین سیستم‌عامل و بستر سخت افزاری است. این ویژگی جایگزین رابط سخت‌افزار BIOS است. ویژگی UEFI، تمامی خدمات BIOS را پشتیبانی می‌کند. به وسیله این ویژگی می‌توان عیب یابی و تعمیرات (یا تنظیمات امنیتی) را بدون نیاز به هیچگونه سیستم‌عاملی انجام داد.

سئوالی که اینجا برای بسیاری از سازمان‌های حساس مطرح می‌شود چگونگی تشخیص آلوده بودن سیستم‌ها به این تهدیدات است. برای این منظور محققان McAfee ماجول جدیدی را به یکی از چهارچوب‌های خود با نام  CHIPSEC اضافه کرده‌اند.

CHIPSEC یک چهارچوب نرم‌افزاری کدباز (Open Source) است که با فراهم نمودن مجموعه‌ای از ابزارهای خط فرمان با رابط‌های کاربری سطح پایین کارشناسان را قادر به تحلیل و بررسی سخت‌افزار و ثابت‌افزار می‌کند. CHIPSEC بر روی سیستم‌های عامل Windows،و Linux و macOS و حتی UEFI Shell قابل اجراست.

به گزارش شرکت مهندسی شبکه گستر، ماجول جدید وجود درب‌های پشتی (Backdoor) و سایر کدهای مخرب را بر روی بستر UEFI مورد بررسی قرار می‌دهد. این کار با مقایسه UEFI با فهرست سفید صورت می‌پذیرد. 

چهارچوب CHIPSEC در اینجا قابل دریافت است.