חוקרים חשפו נוזקת ריגול סינית מסוכנת מסוג חדש
הגילוי שחשפו חוקרים מחברת הסייבר הרוסית קספרסקי הוא נדיר ביותר בתחום הסייבר. מדובר בנוזקה משוכללת המיועדת לנצל חולשה במנגנון ההפעלה הראשוני של המחשב, שלא ניתן להסיר באמצעים מסורתיים
זוג חוקרים, ישראלי ורוסי של חברת הסייבר הרוסית קספרסקי, חשפו היום (ב') גילוי נדיר ביותר בתחום הסייבר: נוזקה משוכללת המיועדת לפעול על מחשבים ללא שניתן להסיר אותה באמצעים מסורתיים. הנוזקה מיועדת לנצל חולשה במנגנון UEFI.
זהו מנגנון המותקן בכל לוח אם של מחשב והמשמש להפעלה ראשונית של המכונה ולטעינת מערכת ההפעלה. במילים אחרות והקבלה מדובר במעין מערכת הצתה של המחשב שמפעילה אותו באופן ראשוני.
קראו עוד בכלכליסט
לא ניתנת כמעט למחיקה
עם זאת בניגוד לדליפות אחרות של כלי נשק מבוססי סייבר, במקרה של החולשה הזו לקח שנים רבות עד שהצליחו לפתח לה נוזקה שתנצל אותה. לחטיק הסביר גם שהנוזקה שפותחה דורשת גישה פיזית למחשב כדי להחדיר אותה. כך שלא מדובר באמצעי קל לתפעול. אך מנגד, מהרגע שהיא הוחדרה, קשה מאוד להיפטר ממנה דרך כלי סייבר קיימים ובנוסף היא לא ניתנת כמעט למחיקה.
הסיבה לכך היא שמנגנון ה-UEFI אינו פועל מתוך הכונן הקשיח של המחשב, אלא מותקן על שבב שמולחם ללוח האם של המחשב. לכן אפשר אפילו לפרמט את המחשב ללא שהנוזקה תוסר. כדי להסיר אותה צריך או לצרוב מחדש את ה-UEFI או להחליף את לוח האם.
זו לא הנוזקה הראשונה שזוהתה ושתוקפת את ה-UEFI, לפני שנתיים זוהה כלי כזה במהלך מבצע של קבוצת ההאקרים הרוסית Fancy Bear הנחשבת כזרוע של הביון הרוסי. אך בניגוד לקודמת הפעם מדובר במפעילים סינים. עד כה הנוזקה שימשה למספר תקיפות שרובן בוצעו נגד מלכ''רים או דיפלומטים במדינות שונות באפריקה, אירופה ואסיה.
המכנה המשותף היחיד של הקורבנות לדברי החוקרים היה קשר כזה או אחר לצפון קוריאה. לא ברור למה גורמים המזוהים עם סין ינסו לעקוב אחר צפון קוריאה שרשמית לפחות נחשבת לבעלת ברית. אבל הדאגה העיקרית כעת היא שהנוזקה תשופר ותופץ הלאה. קשה להעריך כמה נזק נוזקה כזו יכולה לגרום בידיים של מפעילים פליליים או חסרי מצפון.