اكتشاف نوع نادر من البرمجيات الخبيثة تسبب أضرارا بالغة للكمبيوتر
اكتشاف نوع نادر من البرمجيات الخبيثة تسبب أضرارا بالغة للكمبيوتر
كشف باحثو كاسبرسكي النقاب عن حملة تجسس رقمي تقف خلفها إحدى جهات التهديدات المتقدمة المستمرة وتستخدم فيها نوعًا نادرًا جدًا من البرمجيات الخبيثة يُعرف باسم firmware bootkit. واكُتشفت هذه البرمجيات الخبيثة بتقنية فحص UEFI / BIOS من كاسبرسكي، والتي تتميز بقدرتها على اكتشاف التهديدات المعروفة والمجهولة.
وحدّدت تقنية الفحص برمجية خبيثة لم تكن معروفة سابقًا في الواجهة الموحدة والموسّعة للبرمجيات الثابتة (UEFI)، وهي جزء أساسي في أي جهاز حاسوب حديث، ما يجعل من الصعب اكتشافها وإزالتها من الأجهزة المصابة.
وتشكّل البرمجية المكتشفة نسخة معدلة من bootkit خاصة بمجموعة Hacking Team التخريبية، والتي كانت سُرّبت في العام 2015.
وتُعد البرمجيات الثابتة UEFI جزءًا أساسيًا من أي جهاز حاسوب، وتبدأ في العمل قبل نظام التشغيل وقبل جميع البرمجيات المثبتة فيها.
وإذا خضعت هذه البرمجيات لأي تعديل يهدف إلى تضمينها شيفرة خبيثة، فإن هذه الشيفرة سوف تُشغّل قبل نظام التشغيل، ما يجعل نشاطها خفيًّا عن الحلول الأمنية. كذلك فإن كون البرمجيات الثابتة نفسها موجودة على شريحة ذاكرة فلاشية منفصلة عن القرص الصلب، يجعل الهجمات التي تُشنّ ضدها ذات قدرة استثنائية على المراوغة والاستمرار. وباختصار، فإن إصابة البرمجية الثابتة باستخدام bootkit يعني بقاءها مزروعة على الجهاز بغض النظر عن عدد المرات التي يُعاد فيها تثبيت نظام التشغيل.
وقد وجد باحثو كاسبرسكي عينة من هذه البرمجيات الخبيثة في حملة وظّفت نسخًا من بُنية معقدة متعددة المراحل يُطلق عليه اسم MosaicRegressor.
واستُخدمت هذه البُنية للتجسس وجمع البيانات بعد أن لجأت إلى برمجية خبيثة لم تكن معروفة من قبل، زُرعت في UEFI لتضمن استمرارها في العمل.
واستندت مكونات bootkit التي كشف النقاب عنها على bootkit يُسمّى Vector-EDK كانت طورته عصابة Hacking Team وسُرّبت شيفرته المصدرية إلى الإنترنت في العام 2015. ويُرجّح أن تكون هذه الشيفرة سمحت للمخربين ببناء برمجيتهم الخاصة بقليل من الجهد التطويري وبكثير من الحرص على تقليل مخاطر تعرّضها للانكشاف.
