Control-Alt-Cant delete : برمجيات خبيثة مُخصصة ذات الوصول المفتوح من الصعب جدا اكتشافها أو إزالتها

 Control-Alt-Cant delete : برمجيات خبيثة مُخصصة ذات الوصول المفتوح من الصعب جدا اكتشافها أو إزالتها

اكتشف الباحثون في  شركة "كاسبرسكي" تهديدا مستعصيا جديدا (APT) يستخدم برنامج ناذرا من البرامج الخبيثة، يُطلق عليه اسم "Firwmawre bootkit".

وتم تحديد هذه البرمجيات الخبيثة باستخدام تقنية فحص UEFI/BIOS من "كاسبرسكي"، وهي لم تكن معروفة من قبل في واجهة البرمجيات الموحدة والموسعة للبرمجيات الثابتة(UEFI)، وهي وظيفة أساسية لأجهزة الكمبيوتر.

فالمكان الذي تتواجد فيه هذه البرمجيات، يجعل من الصعب جدا اكتشافها أو إزالتها من الأجهزة المصابة، كما أن البرنامج الخبيث الذي تم اكتشافه هو إصدار معدل من "Bootkit" الخاص بالقرصنة، والذي سبق وأن تم تسريبه سنة 2015.

 

عثر الباحثون في شركة "كاسبرسكي" المتخصصة في أمن الحواسيب، عن عينة من هذه البرامج الضارة في إطار حملة كان الهدف منها نشر صيغ بديلة من إطار عمل معياري معقد متعدد المستويات، يسمى MosaicRegessor ، حيث تم استخدام هذا الإطار من أجل التجسس وجمع البيانات، على اعتبار أن البرامج الضارة  (UEFI)  هي إحدى أساليب استمرار هذه البرامج الضارة الجديدة.

إن البرمجيات الثابتة(UEFI) هي ميزة أساسية في الحاسوب، وتعمل قبل نظام التشغيل وقبل جميع البرامج المثبتة سابقا، وفي حالة ما إذا تم تعديل البرمجيات الثابتة من أجل إضافة برمجية ضارة، فسيتم تشغيل هذه التعليمات البرمجية قبل نظام التشغيل.

وإلى جانب هذه المسألة، فالبرمجيات الثابتة موجودة على شريحة فلاش منفصلة عن محرك الأقراص الثابتة، يجعل من الصعب التعرف على هذه الهجمات واستمراريتها بشكل استثنائي، ويرجع سبب ذلك أساسا، إلى أن الإصابة بالبرمجيات الثابتة تعني أنه مهما كان عدد مرات إعادة تثبيت نظام التشغيل، فستبقى البرامج الضارة ثابتة على الجهاز.

واستندت مكونات البرنامج النصي لإطلاق UEFI الذي تم اكتشافه إلى حد كبير على البرنامج النصي لإطلاق "Vector-EDK" الذي طورته عصابة القرصنة، والذي تم تسريب تعليماته البرمجية المصدرية عبر الإنترنت قبل 5 سنوات (2015). ومن المحتمل أن شيفرة المصدر الذي تم الكشف عنه، سمح بإنشاء برمجيات جديدة بأقل جهد ممكن في التطوير، مع تقليل خطر التعرض للكشف عن هويته.

وبفضل تقنية "Firmware Scanner"، تم الكشف عن الهجمات التي كانت موجودة في منتجات "كاسبرسكي" منذ بداية سنة 2019، وهي التقنية التي تم تطويرها لاكتشاف التهديدات المختبئة في BIOS الخاصة بـ ROM، ويشمل ذلك صور البرمجيات الثابتة لـ UEFI.

على الرغم من أنه لم يكن من الممكن اكتشاف ناقل العدوى الدقيق الذي يمكن استخدامه لإعادة كتابة برمجيات "UEFI" الأصلية، إلا أن الباحثون لدى "كاسبرسكي" وضعوا فرضية المتابعة استنادا إلى ما هو معروف عن VectorEDK.

ويقترح الباحثون من دون استبعاد احتمالات أخرى، أن تكون العدوى ممكنة من خلال الوصول المادي إلى آلة الضحية، وخاصة مع ذاكرة USB التي قد تحتوي على أداة تحديث خاصة، وبمجرد تغيير البرنامج الثابت، سيكون من الأسهل تثبيت برنامج تنزيل حصان طروادة.

ومع ذلك، في معظم الحالات، تم إرسال عناصر " MosaicRegressor" إلى الضحايا عبر أساليب أكثر بساطة، على غرار التصيد عبر إسقاط البرمجيات الخبيثة المخبأة في أرشيف مع ملف مزيف، فالبنية متعددة الوحدات سمحت للمهاجمين بإخفاء البنية الكاملة عن التحليل، ونشر المكونات على الأجهزة المستهدفة عند الطلب فقط.

فالبرمجية الضارة المثبتة في البداية على الجهاز المصاب هي أداة تنزيل لحصان طروادة، وهو برنامج قادر على تنزيل حمولات صافية إضافية وبرامج ضارة أخرى. وبناء على الحمولة الصافية التي تم تنزيلها، يمكن للبرمجية الضارة تنزيل الملفات العشوائية من/إلى روابط الانترنت، أو تحميلها وجمع المعلومات حول الجهاز المستهدف.

واستنادا إلى انتماء الضحايا الذي تم اكتشافهم، تمكن الباحثون من التحديد أنه تم الاعتماد على  " MosaicRegressor" واستخدامه في سلسلة من الهجمات المستهدفة ضد دبلوماسيين وأعضاء من المنظمات غير الحكومية في أفريقيا وآسيا وأوروبا، وشملت بعض هذه الهجمات إصدار وثائق للتصيد باللغة الروسية، بينما كانت أخرى مرتبطة بكوريا الشمالية واستخدمت كطعم لتنزيل البرامج الضارة، ورغم ذلك، لم يتم ربط الحملة مع أي مجموعة تخريبية.

وفي تعليقه على الموضوع، قال مارك ليشتيك، الباحث الأمني الرئيسي في فريق البحث والتحليل العالمي داخل شركة "كاسبرسكي" :"تتيح هجمات UEFI العديد من الفرص للمهاجمين عبر الإنترنت، ولكن  MosaicRegresor  يُعد أول حالة عامة معروفة يستخدم فيها المتسللون برمجية ثابتة (UEFI)  ذات وصول مفتوح. فالهجمات التي تم رصدها في وقت سابق لم تقم إلا بإصلاح البرمجيات الشرعية (مثلLOJAX ) مما يجعلها أول هجوم باستخدام تقنية UEFI Bootkit.معدلة. ويسلط هذا الهجوم الضوء على استعداد المتطفلين لبذل جهود كبيرة للحصول على أعلى مستوى من الاستمرارية على جهاز الضحية. ويواصل المتسللون تنويع أدوات العمل التي يعتمدون عليها، ويصبحون أكثر إبداعاً في كيفية استهدافهم للضحايا، تماماً مثل مقدمي خدمات الأمن، من أجل البقاء في المقدمة أمام المخربين".

وأضاف المتحدث ذاته أنه :"ومن حسن الحظ، يساعدنا الجمع بين تقنيتنا وفهمنا للتهديدات التي تستخدم البرمجيات الثابتة المصابة في مراقبة الهجمات المستقبلية ضد مثل هذه الأهداف والإبلاغ عنها".

من جهته، قال إيغور كوزنتسوف، الباحث الأمني الرئيسي في فريق البحث والتحليل العالمي لدى "كاسبرسكي أن :"استخدام رموز المصدر الخاصة بجهة خارجية من التسريبات وتخصيصها إلى برمجية ضارة جديدة متقدمة، يذكرنا مرة أخرى بأهمية أمن البيانات. وبمجرد الكشف عن برمجية ما ـ سواء كان عبارة عن برمجية "Bootkit" أو برمجية ضارة أخرى ـ فإن المتسللين يستفيدون من مزايا كثيرة، على اعتبار أن الأدوات المجانية تمنحهم الفرصة على تحسين أدواتهم وتعديلها بأقل جهد ممكن، مع فرصة أقل للكشف عنها".

من أجل الحماية من التهديدات مثل  MosaicRegessor، توصي "كاسبرسكي" باتباع التدابير الآتية:

تزويد فرق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث المعلومات المرتبطة بالتهديدات، ويمكن الإطلاع في منصة " Kaspersky Threat Intelligence على بيانات حول الهجمات الإلكترونية والمعلومات التي جمعها "كاسبرسكي" على مدى أكثر من 20 سنة.

توفير حلول  (EDR) مثل Kaspersky EndpointDetection من أجل الكشف عن الأجهزة الطرفية والتحقيق فيها ومعالجتها بشكل مبكر.

توفير تدريب أساسي على مبادئ تكنولوجيا المعلومات، ذلك أن العديد من الهجمات المستهدفة تبدأ بالتصيّد الاحتيالي أو تقنيات القرصنة الأخرى.

استخدام  منتج أمني موثوق به على الأجهزة الطرفية من شأنه استخدام البرمجيات الثابتة، مثل Kaspersky Endpoint Security for Business.

تحديث قاعدة بيانات UEFI بانتظام من الموردين الموثوق بهم.

يمكنكم التعرف بشكل مُفصل على التحليل التفصيلي لبنية "MosaicRegressor" من خلال زيارة "Securelist".

 

 

التعليقات

علِّق