cc by Wikimedia, Own work
בכנסי ההאקרים Blackhat ו-Defcon שנערכים בלאס וגאס מדי שנה, הופיע לפני שבועיים ג'ונתן ברוסארד, מנכ"ל Toucan System ואחד מחוקרי החברה באבטחת מידע, ובישר לקהל ההאקרים על השלב הבא במלחמה הנמשכת כבר קרוב ל-30 שנה בין יוצרי הווירוסים וחברות האנטי וירוס: וירוסים שמדביקים את ה-BIOS.
במאמר שנקרא Hardware backdooring is practical מפרט ברוסארד את המחקר שערכה החברה שלו בנושא, שבמסגרתו הם פיתחו נוזקה בשם Rakashasa שיודעת להדביק את ה-BIOS של יותר ממאה סוגים של לוחות אם התומכים במעבדי אינטל, ולבטל את ההגנות הנפוצות (NX-No Execute ו-SMM-System Management Mode), שאמורות לנעול את זיכרון הפלאש של ה-BIOS, ולמנוע את כתיבתו מחדש.
על פי המאמר, הנוזקה החדשה יודעת להדביק את ה-BIOS באחת משתי הדרכים הבאות:
- בגישה פיזית ללוח האם, מבצעים פלאש לזיכרון המקורי של ה-BIOS, ומחליפים אותו בקוד שמשולב עם Rakashasa, תהליך שלוקח כדקה בשימוש בציוד מתאים.
- לאחר שמדביקים את המחשב בוירוס 'רגיל' שנותן גישת אדמיניסטרטור למערכת ההפעלה, יתבצע פלאש לזיכרון של ה-BIOS בפעם הבאה שיתבצע אתחול למחשב.
לאחר הדבקת ה-BIOS לא יעזרו פרמוט או החלפה של הדיסק הקשיח, משום שבכל טעינה של מערכת ההפעלה היא תודבק מחדש. בנוסף, הנוזקה Rakashasa מגיעה עם קוד 'מוכן' לשילוב של וירוסים שמדביקים את ה-MBR, אותם הזכרתי בכתבה על נוזקות Ransomeware. ברוסארד גם הוסיף שהנוזקה נכתבה כולה בשתי שפות קוד פתוח, דבר שיקשה על הזיהוי שלה ע"י חוקרי הווירוסים.
כדי להקשות עוד יותר, בקוד של הנוזקה שולבה גרסת Firmware נגועה אשר מעדכנת את כרטיס הרשת ומנסה להתחבר לרשתות WiFi מתוך רשימת הרשתות השמורות במחשב (או מתוך רשימה של שמות נפוצים לרשתות ציבוריות לא מאובטחות) מתוך מטרה להדביק את שאר המחשבים ברשת או להתחבר לשרת מרוחק של התוקף ולקבל פקודות נוספות, למשל, על ידי הורדה של תוכנות ריגול נוספות. במידה והנוזקה לא מצליחה להתחבר לרשת האינטרנט או לרשת מקומית (אם לא קיים חיבור אלחוטי, היא תנסה לקבל כתובת IP חוקית משרת DHCP דרך חיבור Ethernet רגיל), היא תשמיד את עצמה ותחזיר את גרסת ה-BIOS המקורית כדי להימנע מזיהוי.
בסיכום המאמר כותב ברוסארד שהמטרה שלו הייתה להדגיש את האבטחה הלקויה של רכיבי חומרה, שלא התפתחה הרבה ב-30 השנים האחרונות (וכמובן לא כדי לפרסם את החברה שלו) אך המסקנה המתבקשת היא שכדי להגן על החומרה בצורה יעילה ייאלצו חברות החומרה לשנות את מבנה החומרה כך שלא תתאפשר תאימות לאחור של רכיבים חדשים – מה שיהפוך את כל התהליך ללא כדאי עבורן מבחינה כלכלית.
הפוטנציאל הסיני
התקפות על ה BIOS או הדבקה שלו כבר הודגמו בכנס Blackhat באנגליה בשנת 2006. למרות שנערכו כבר מספר מחקרים בתחום, במאמר של ברוסארד מוזכר רק מחקר בודד מ-2008 של האקר העונה לשם BSDaemon שמדגים שלב אחרי שלב כיצד ניתן לעקוף הגנת SMM של ה-BIOS, ולשתול בו קוד שיכול לשמש למה שהוא מגדיר "מטרות רעות". השילוב המרשים של שיטות תקיפה שמתואר במאמר כבר קיים ברובו (חוץ מהדבקת ה-BIOS) בהרבה מהנוזקות ותוכנות הריגול הנפוצות כיום. אגב, הוירוס המפורסם הראשון שפגע ב-BIOS התגלה בשנת 1998 ונקרא Chernobyl. הוא הופעל ב-24 לאפריל 1999 ביום השנה לאסון הכור בצ'רנוביל והצליח לפגוע במחשבים רבים בישראל תוך שהוא מוחק קבצי הפעלה של תוכנות או משמיד את ה-BIOS.
הסינים כבר הוכיחו כבר כי הם חלוצים בפיתוח יכולות התקיפה של ה-BIOS עם הוירוס Mebroni שהתגלה בשנה שעברה בסין, ונחשב לווירוס הראשון שהתגלה מחוץ למעבדות המחקר שיודע להחליף את ה-BIOS המקורי בגרסה נגועה ומיד לאחר מכן מפעיל וירוס נוסף שמדביק את ה… כן, ניחשתם – MBR. בנוסף, הוירוס החדש מתוכנת לנטרל את תוכנות האנטי-וירוס הסיניות Jiangmin KV ו-Rising Antivirus, כך שלא יוכלו להתריע על הדבקת ה-MBR. אני לא חושב שזה יהיה מוגזם להניח שמדובר בבדיקת כלים של סין לפני שתתחיל להפיץ וירוסים שמדביקים את ה-BIOS בשאר העולם.
במאמרו של ברוסארד מוזכר הענק הסיני כבעל הפוטנציאל ההרסני ביותר משום שסין היא יצרנית החומרה הגדולה בעולם מה שמקנה לה אפשרות לשתול וירוסים ב-BIOS או ברכיבי חומרה אחרים עוד במפעלי הייצור לצורך ריגול תעשייתי או לצורך ריגול בין מדינות. האמריקאים התייחסו לאפשרות זו בוועדה פרלמנטרית שדנה בתשתיות והכלים האזרחיים והצבאיים שארה"ב מחזיקה (רובם כנראה), שחלק מהחומרה או השבבים שלהם מיוצרים בסין ועלולים להיות נגועים בוירוסים וכלי ריגול שהושתלו במפעלי הייצור בסין.
חברות האנטי-וירוס מצידן, אינן יושבות על השמרים. חברות האנטי-וירוס ESET ו-Kaspersky הן היחידות בעולם שכבר התחילו בפיתוח של דרייברים שיותקנו על רכיבי חומרה על מנת להגן עליהם בפני נוזקות וידעו להתעדכן בחתימות זיהוי חדשות ככל שהטכנולוגיות התקיפה נגד חומרה ישתכללו.
הפוסט בחסות ESET
חברת האבטחה הבינלאומית ESET היא חלוצת האנטי וירוס מזה 25 שנה, המגינה כיום על יותר מ-100 מיליון משתמשים בכל רגע. פתרונות האבטחה המובילים שלה – ESET NOD32 Antivirus, ESET Smart Security ו- ESET Mobile Security for Android – מיועדים לצרכנים פרטיים ולארגונים בגדלים שונים. החברה מתמחה ביכולות זיהוי מדויקות בזכות טכנולוגיה פרו-אקטיבית (מזהה וירוסים ומזיקים לא מוכרים על סמך ניתוח קוד ודפוסי התנהגות, ללא תלות בעדכוני חתימות) ומוצריה נחשבים ליעילים בצריכת משאבים כך שלא יכבידו על המערכת.
בשנתיים האחרונות ESET הוכרזה כחברת הסקיוריטי בעלת הצמיחה גדולה ביותר בעולם בשוק הפרטי ולאחת מ 500 חברות ה-IT בעלות קצב הצמיחה הגבוה ביותר בצפון אמריקה , על פי גרטנר ומדד Fortune500.
בישראל מיוצגת ESET על ידי חברת קומסקיור בע"מ, המשווקת את מוצריה בלעדית ומפעילה מרכז תמיכה טכני בשפה העברית לכל הלקוחות. בין לקוחות ESET בישראל ניתן למצוא חברות היי-טק, ארגוני ענק, חברות אינטרנט, מכללות ואוניברסיטאות, עיריות ומשרדי ממשלה ועסקים קטנים,בינוניים וגדולים מתחומים מגוונים.