בכנסי ההאקרים Blackhat ו-Defcon שנערכים בלאס וגאס מדי שנה, הופיע לפני שבועיים ג'ונתן ברוסארד, מנכ"ל Toucan System, ובישר לקהל ההאקרים על. . .
במאמר שנקרא Hardware backdooring is practical מפרט ברוסארד את המחקר שערכה החברה שלו בנושא, שבמסגרתו הם פיתחו נוזקה בשם Rakashasa שיודעת להדביק את ה-BIOS של יותר ממאה סוגים של לוחות אם התומכים במעבדי אינטל, ולבטל את ההגנות הנפוצות (NX-No Execute ו-SMM-System Management Mode), שאמורות לנעול את זיכרון הפלאש של ה-BIOS, ולמנוע את כתיבתו מחדש.
על פי המאמר, הנוזקה החדשה יודעת להדביק את ה-BIOS באחת משתי הדרכים הבאות:
בגישה פיזית ללוח האם, מבצעים פלאש לזיכרון המקורי של ה-BIOS, ומחליפים אותו בקוד שמשולב עם Rakashasa, תהליך שלוקח כדקה בשימוש בציוד מתאים.
לאחר שמדביקים את המחשב בוירוס 'רגיל' שנותן גישת אדמיניסטרטור למערכת ההפעלה, יתבצע פלאש לזיכרון של ה-BIOS בפעם הבאה שיתבצע אתחול למחשב.
לאחר הדבקת ה-BIOS לא יעזרו פרמוט או החלפה של הדיסק הקשיח, משום שבכל טעינה של מערכת ההפעלה היא תודבק מחדש. בנוסף, הנוזקה Rakashasa מגיעה עם קוד 'מוכן' לשילוב של וירוסים שמדביקים את ה-MBR.
הוירוס המפורסם הראשון שפגע ב-BIOS התגלה בשנת 1998 ונקרא Chernobyl. הוא הופעל ב-24 לאפריל 1999 ביום השנה לאסון הכור בצ'רנוביל והצליח לפגוע במחשבים רבים בישראל תוך שהוא מוחק קבצי הפעלה של תוכנות או משמיד את ה-BIOS.
כלים טכנולוגיים ייעודיים, מהמתקדמים מסוגם בעולם, מסייעים לחברתנו בגילוי וירוסים מסוג זה, אשר אינם מתגלים בידי כלים רגילים. דבר זה כבר הוכח בעבר, כאשר מומחינו איתרו אצל מספר מלקוחותינו וירוסים ותוכנות זדוניות מתקדמות ומתוחכמות, אשר לא התגלו טרם לכן בכלים הרגילים. נוסף לזאת, במסגרת מבדק התשתית המחשובית, כמו גם מבדק עמדות הקצה שמבצעים מומחי החברה ממופות כלל התחנות והעמדות אשר נמצאות בסיכון בארגון.
למאמר המלא- כאן