Control-Alt-Cant delete : برمجيات خبيثة مُخصصة ذات الوصول المفتوح من الصعب جدا اكتشافها أو إزالتها

0
250

19 أكتوبر 2020
اكتشف الباحثون في شركة “كاسبرسكي” تهديدا مستعصيا جديدا (APT) يستخدم برنامج ناذرا من البرامج الخبيثة، يُطلق عليه اسم “Firwmawre bootkit”.
وتم تحديد هذه البرمجيات الخبيثة باستخدام تقنية فحص UEFI/BIOS من “كاسبرسكي”، وهي لم تكن معروفة من قبل في واجهة البرمجيات الموحدة والموسعة للبرمجيات الثابتة(UEFI)، وهي وظيفة أساسية لأجهزة الكمبيوتر.
فالمكان الذي تتواجد فيه هذه البرمجيات، يجعل من الصعب جدا اكتشافها أو إزالتها من الأجهزة المصابة، كما أن البرنامج الخبيث الذي تم اكتشافه هو إصدار معدل من “Bootkit” الخاص بالقرصنة، والذي سبق وأن تم تسريبه سنة 2015.

عثر الباحثون في شركة “كاسبرسكي” المتخصصة في أمن الحواسيب، عن عينة من هذه البرامج الضارة في إطار حملة كان الهدف منها نشر صيغ بديلة من إطار عمل معياري معقد متعدد المستويات، يسمى MosaicRegessor ، حيث تم استخدام هذا الإطار من أجل التجسس وجمع البيانات، على اعتبار أن البرامج الضارة (UEFI) هي إحدى أساليب استمرار هذه البرامج الضارة الجديدة.
إن البرمجيات الثابتة(UEFI) هي ميزة أساسية في الحاسوب، وتعمل قبل نظام التشغيل وقبل جميع البرامج المثبتة سابقا، وفي حالة ما إذا تم تعديل البرمجيات الثابتة من أجل إضافة برمجية ضارة، فسيتم تشغيل هذه التعليمات البرمجية قبل نظام التشغيل.
وإلى جانب هذه المسألة، فالبرمجيات الثابتة موجودة على شريحة فلاش منفصلة عن محرك الأقراص الثابتة، يجعل من الصعب التعرف على هذه الهجمات واستمراريتها بشكل استثنائي، ويرجع سبب ذلك أساسا، إلى أن الإصابة بالبرمجيات الثابتة تعني أنه مهما كان عدد مرات إعادة تثبيت نظام التشغيل، فستبقى البرامج الضارة ثابتة على الجهاز.
واستندت مكونات البرنامج النصي لإطلاق UEFI الذي تم اكتشافه إلى حد كبير على البرنامج النصي لإطلاق “Vector-EDK” الذي طورته عصابة القرصنة، والذي تم تسريب تعليماته البرمجية المصدرية عبر الإنترنت قبل 5 سنوات (2015). ومن المحتمل أن شيفرة المصدر الذي تم الكشف عنه، سمح بإنشاء برمجيات جديدة بأقل جهد ممكن في التطوير، مع تقليل خطر التعرض للكشف عن هويته.
وبفضل تقنية “Firmware Scanner”، تم الكشف عن الهجمات التي كانت موجودة في منتجات “كاسبرسكي” منذ بداية سنة 2019، وهي التقنية التي تم تطويرها لاكتشاف التهديدات المختبئة في BIOS الخاصة بـ ROM، ويشمل ذلك صور البرمجيات الثابتة لـ UEFI.
على الرغم من أنه لم يكن من الممكن اكتشاف ناقل العدوى الدقيق الذي يمكن استخدامه لإعادة كتابة برمجيات “UEFI” الأصلية، إلا أن الباحثون لدى “كاسبرسكي” وضعوا فرضية المتابعة استنادا إلى ما هو معروف عن VectorEDK.
ويقترح الباحثون من دون استبعاد احتمالات أخرى، أن تكون العدوى ممكنة من خلال الوصول المادي إلى آلة الضحية، وخاصة مع ذاكرة USB التي قد تحتوي على أداة تحديث خاصة، وبمجرد تغيير البرنامج الثابت، سيكون من الأسهل تثبيت برنامج تنزيل حصان طروادة.
ومع ذلك، في معظم الحالات، تم إرسال عناصر ” MosaicRegressor” إلى الضحايا عبر أساليب أكثر بساطة، على غرار التصيد عبر إسقاط البرمجيات الخبيثة المخبأة في أرشيف مع ملف مزيف، فالبنية متعددة الوحدات سمحت للمهاجمين بإخفاء البنية الكاملة عن التحليل، ونشر المكونات على الأجهزة المستهدفة عند الطلب فقط.
فالبرمجية الضارة المثبتة في البداية على الجهاز المصاب هي أداة تنزيل لحصان طروادة، وهو برنامج قادر على تنزيل حمولات صافية إضافية وبرامج ضارة أخرى. وبناء على الحمولة الصافية التي تم تنزيلها، يمكن للبرمجية الضارة تنزيل الملفات العشوائية من/إلى روابط الانترنت، أو تحميلها وجمع المعلومات حول الجهاز المستهدف.
واستنادا إلى انتماء الضحايا الذي تم اكتشافهم، تمكن الباحثون من التحديد أنه تم الاعتماد على ” MosaicRegressor” واستخدامه في سلسلة من الهجمات المستهدفة ضد دبلوماسيين وأعضاء من المنظمات غير الحكومية في أفريقيا وآسيا وأوروبا، وشملت بعض هذه الهجمات إصدار وثائق للتصيد باللغة الروسية، بينما كانت أخرى مرتبطة بكوريا الشمالية واستخدمت كطعم لتنزيل البرامج الضارة، ورغم ذلك، لم يتم ربط الحملة مع أي مجموعة تخريبية.