חוקרים חשפו נוזקת ריגול סינית מסוכנת מסוג חדש
הגילוי שחשפו חוקרים מחברת הסייבר הרוסית קספרסקי הוא נדיר ביותר בתחום הסייבר. מדובר בנוזקה משוכללת המיועדת לנצל חולשה במנגנון ההפעלה הראשוני של המחשב, שלא ניתן להסיר באמצעים מסורתיים
זוג חוקרים, ישראלי ורוסי של חברת הסייבר הרוסית קספרסקי, חשפו היום (ב') גילוי נדיר ביותר בתחום הסייבר: נוזקה משוכללת המיועדת לפעול על מחשבים ללא שניתן להסיר אותה באמצעים מסורתיים. הנוזקה מיועדת לנצל חולשה במנגנון UEFI.
זהו מנגנון המותקן בכל לוח אם של מחשב והמשמש להפעלה ראשונית של המכונה ולטעינת מערכת ההפעלה. במילים אחרות והקבלה מדובר במעין מערכת הצתה של המחשב שמפעילה אותו באופן ראשוני.
- דיווח: האקרים רוסים תקפו את חברת המחשוב הלביש גרמין; דורשים כופר של 10 מיליון דולר
- האקרים פיתחו נוזקה שמאפשרת לפצח אפליקציות תשלום ובנקאות
- דיווח: הנוזקה של NSO שימשה בניסיון פריצה לטלפון של כתב הניו יורק טיימס
הנוזקה הזו נצפתה לראשונה לפני מספר חודשים. לדברי מארק לחטיק, החוקר הישראלי, המפעילים שלה כנראה סינים. בנוסף הוא הסביר במהלך שיחה עם כלכליסט שהקבוצה שמפעילה אותה כנראה קשורה או מופעלת על ידי מדינה. הסיבה לכך היא שהחולשה שמנוצלת על ידי הנוזקה החדשה כדי לחדור למחשב דורשת יכולת מחקר ופיתוח מתקדמת מאוד כמו גם משאבים נרחבים.
החלק המעניין כאן הוא כיצד היא מופעלת. המקור שלה הוא כאמור בחולשה שגילתה חברת האקינג טים האיטלקית לפני יותר מ-5 שנים. החברה הזו, שמקובל להשוות ל-NSO הישראלית, עסקה במשך שנים באגירה של פרצות וחולשות שלאחר מכן ניצלה לטובת טכנולוגיות הריגול והמעקב שמכרה ללקוחותיה - לרוב מדינות או סוכנויות ביון. חולשה זו דלפה לרשת לאחר שמחשבי החברה האיטלקית נפרצו בידי האקרים שלא אהבו את הפעילות שלה. הפריצה הזו הביאה לחשיפת הפעילות של האקינג טים בציבור - כולל עסקאות מפוקפקות שביצעה עם ממשלות דיקטטוריות או טוטליטריות. בחלק מהמקרים אגב נמצא שחברות ישראליות היו שותפות לעסקאות האלה.
לא ניתנת כמעט למחיקה
עם זאת בניגוד לדליפות אחרות של כלי נשק מבוססי סייבר, במקרה של החולשה הזו לקח שנים רבות עד שהצליחו לפתח לה נוזקה שתנצל אותה. לחטיק הסביר גם שהנוזקה שפותחה דורשת גישה פיזית למחשב כדי להחדיר אותה. כך שלא מדובר באמצעי קל לתפעול. אך מנגד, מהרגע שהיא הוחדרה, קשה מאוד להיפטר ממנה דרך כלי סייבר קיימים ובנוסף היא לא ניתנת כמעט למחיקה.
הסיבה לכך היא שמנגנון ה-UEFI אינו פועל מתוך הכונן הקשיח של המחשב, אלא מותקן על שבב שמולחם ללוח האם של המחשב. לכן אפשר אפילו לפרמט את המחשב ללא שהנוזקה תוסר. כדי להסיר אותה צריך או לצרוב מחדש את ה-UEFI או להחליף את לוח האם.
זו לא הנוזקה הראשונה שזוהתה ושתוקפת את ה-UEFI, לפני שנתיים זוהה כלי כזה במהלך מבצע של קבוצת ההאקרים הרוסית Fancy Bear הנחשבת כזרוע של הביון הרוסי. אך בניגוד לקודמת הפעם מדובר במפעילים סינים. עד כה הנוזקה שימשה למספר תקיפות שרובן בוצעו נגד מלכ''רים או דיפלומטים במדינות שונות באפריקה, אירופה ואסיה.
המכנה המשותף היחיד של הקורבנות לדברי החוקרים היה קשר כזה או אחר לצפון קוריאה. לא ברור למה גורמים המזוהים עם סין ינסו לעקוב אחר צפון קוריאה שרשמית לפחות נחשבת לבעלת ברית. אבל הדאגה העיקרית כעת היא שהנוזקה תשופר ותופץ הלאה. קשה להעריך כמה נזק נוזקה כזו יכולה לגרום בידיים של מפעילים פליליים או חסרי מצפון.