كاسبرسكي تكتشف برمجيات خبيثة نادرة جدًا ضمن حملة للتجسس الرقمي
كشف باحثو كاسبرسكي النقاب عن حملة تجسس رقمي تقف خلفها إحدى جهات التهديدات المتقدمة المستمرة وتستخدم فيها نوعًا نادرًا جدًا من البرمجيات الخبيثة يُعرف باسم firmware bootkit.
واكُتشفت هذه البرمجيات الخبيثة بتقنية فحص UEFI / BIOS من كاسبرسكي، والتي تتميز بقدرتها على اكتشاف التهديدات المعروفة والمجهولة.
وحدّدت تقنية الفحص برمجية خبيثة لم تكن معروف سابقًا في الواجهة الموحدة والموسّعة للبرمجيات الثابتة(UEFI)، وهي جزء أساسي في أي جهاز حاسوب حديث، ما يجعل من الصعب اكتشافها وإزالتها من الأجهزة المصابة.
وتشكّل البرمجية المكتشفة نسخة معدلة من bootkitخاصة بمجموعةHacking Teamالتخريبية، والتي كانت سُرّبت في العام 2015.
وتُعد البرمجيات الثابتة UEFI جزءًا أساسيًا من أي جهاز حاسوب، وتبدأ في العمل قبل نظام التشغيل وقبل جميع البرمجيات المثبتة فيها.
وإذا خضعت هذه البرمجيات لأي تعديل يهدف إلى تضمينها شيفرة خبيثة، فإن هذه الشيفرة سوف تُشغّل قبل نظام التشغيل، ما يجعل نشاطهاخفيًّا عن الحلول الأمنية.
كذلك فإن كون البرمجيات الثابتة نفسها موجودة على شريحة ذاكرة فلاشية منفصلة عن القرص الصلب، يجعل الهجمات التي تُشنّ ضدها ذات قدرة استثنائية على المراوغة والاستمرار.
وباختصار، فإن إصابة البرمجية الثابتة باستخدام bootkit يعني بقاءها مزروعة على الجهازبغض النظر عن عدد المرات التي يُعاد فيها تثبيت نظام التشغيل.
وقد وجد باحثو كاسبرسكي عينة من هذه البرمجيات الخبيثة في حملة وظّفتنسخًا من بُنية معقدة متعددة المراحل يُطلق عليه اسم MosaicRegressor.
واستُخدمت هذه البُنية للتجسس وجمع البيانات بعد أن لجأت إلىبرمجية خبيثة لم تكن معروفة من قبل، زُرعت فيUEFIلتضمن استمرارها في العمل.
واستندت مكونات bootkit التي كشف النقاب عنها على bootkit يُسمّى Vector-EDKكانت طورتهعصابة Hacking Teamوسُرّبت شيفرته المصدريةإلى الإنترنت في العام 2015.
ويُرجّح أن تكون هذه الشيفرة سمحتللمخربين ببناء برمجيتهم الخاصة بقليل من الجهد التطويري وبكثير من الحرص على تقليل مخاطر تعرّضهاللانكشاف.
وعُثر على الهجمات بمساعدة البرمجية الأمنيةFirmware Scanner، التي جرى جُعلت جزءًا من منتجات كاسبرسكي منذ بداية العام 2019.
وكانت هذه التقنية طُوّرت لاكتشاف التهديدات المخبّأة في الذاكرة التشغيلية للنظام، المعروفة بالاسم ROM BIOS على وجه التحديد، وبما يشمل صور البرمجيات الثابتة UEFI.
ولم يكن من الممكن التعرّف بدقة على ناقل العدوى الذي سمح للمهاجمين بالكتابة فوق برمجيات UEFIالثابتة الأصلي، لكن خبراء كاسبرسكي استنتجواطريقة فعل ذلك بناءً على ما عُرف عن VectorEDK من مستندات Hacking Teamالمسربة.
وتشير هذه الطريقة، من دون استبعاد الاحتمالات الأخرى، إلى أن الإصابات قد أُحدثت بوصول المخربين شخصيًا إلى جهاز الضحية، وتحديدًا باستخدام مفتاح تشغيل قابل للتوصيل عبر منفذ USB، والذي ربما احتوى على أداة تحديث خاصة.
بعد ذلك، سهلتالبرمجية الثابتة،التي خضعت للتغيير، تثبيت برمجية تنزيل تروجان يتيح بدوره تنزيل أية حمولة مناسبة لاحتياجات الجهة التخريبية عند تشغيل نظام التشغيل.
لكن في معظم الحالات، يجري توصيل مكونات MosaicRegressor إلى الضحايا عبر إجراءات أقل تعقيدًا، مثل التصيد الموجّه لإيصال أداة لإسقاط البرمجيات الخبيثة مخبأة في أرشيف مع ملف مفخخ.
وقد مكنت البنية المعقدة متعددة المراحل للمنظومة الخبيثة المهاجمين من إخفائهاعن الرصد والتحليل، وتوظيف مكونات معينة لاستهداف الأجهزة عند الطلب فقط.
وكانت البرمجية الخبيثة التي ثُبّتت في البداية على الجهاز المصاب عبارة عن برمجية لتنزيل التروجانات، قادرة على تنزيل حمولة خبيثة إضافية وبرمجيات خبيثة أخرى. ويمكن للبرمجيةالخبيثة، اعتمادًا على الحمولة المنزّلة، تنزيل أو تحميل ملفات من أو إلى عناوين ويب وجمع المعلومات من الجهاز المستهدف.
وتمكن الباحثون من تحديد استخدام MosaicRegressor في سلسلة من الهجمات الموجهة استهدفت دبلوماسيين وأعضاء في منظمات غير حكومية في إفريقيا وآسيا وأوروبا، وذلك بناءً على انتماء الضحايا المكتشفين.
وتضمنت بعض الهجمات وثائق للتصيد الموجّه باللغة الروسية، في حين كان بعضها مرتبطًا بكوريا الشمالية واستُخدِمت وسيلة إغراء لتنزيل البرمجيات الخبيثة.
هذا ولم تُربط الحملة بأي منالجهات التخريبية المعروفة التي تقف وراء التهديدات المتقدمة المستمرة.
وعلى الرغم من أن الهجمات باستخدامUEFI تتيح فرصًا واسعة أمام جهات التهديدات الرقمية، فإن MosaicRegressor تُعتبر أول حالة معروفة علنًا تستخدم فيها جهة التهديدات برمجية ثابتةUEFI خبيثة معدلة استخدامًا واقعيًا، بحسب ما أكّد مارك ليشتيك الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، الذي قال إن الهجمات المعروفة التي رُصدت في السابق”أعادت توظيف برمجيات رسمية، مثل LoJax، ما جعل هذا الهجوم الأول من نوعه الذي يسخّر UEFI bootkit معدلة”.
وأضاف: “يوضح هذا الهجوم استعداد الجهات التخريبية، وإن في حالات استثنائية نادرة، لبذل جهود كبيرة من أجل الحصول على أعلى مستوى من استمرارية الهجوم وإطالته على جهاز الضحية.
وتواصل هذه الجهات تنويع أدواتهاورفع مستوى إبداعها في الطرق التي تستهدف بها ضحاياها، ولهذا ينبغي للشركات المنتجة للحلول الأمنية بدورها أن تحرص على رفع مستوى الابتكار، من أجل ضمان التفوق على المخربين.
ولحسن الحظ، فإن قدرتنا على الجمع بين تقنياتنا المتقدمة وفهمنا العميق للحملات التخريبية الحالية والسابقة التي تستغل البرمجيات الثابتة المصابة، يساعدنا في رصد الهجمات المستقبلية والإبلاغ عنها”.
من جانبه، أشار إيغور كوزنتسوف الباحث الأمني الرئيس في فريق البحث والتحليل العالمي لدى كاسبرسكي، إلى أن استخدام شيفرة مصدرية مُسرّبة من طرف ثالث وتعديلها لإنتاج برمجية خبيثة متقدمة جديدة”يذكرنا مرة أخرى بأهمية أمن البيانات”.
وقال: “تنال الجهات التي تقف وراء التهديدات الرقمية ميزة كبيرةبمجرد أن تُسرّب برمجية خبيثة من أي نوع، نظرًا لأن الأدوات المتاحة مجانًا تتيح لهاالفرصة لتطوير أدواتهاوتعديلها بجهد أقلّ وفرص أقلّ للاكتشاف”.
يمكن الاطلاع على تحليل تفصيلي لبُنية MosaicRegressor ومكوناتها على Securelist.
كما يمكن التسجيل في SAS@Home لمشاهدة العرض التعريفي الخاص بـ MosaicRegressor ومعرفة المزيد حول التهديدات المتقدمة المستمرة والاكتشافات الأمنية الرقمية عالية المستوى عبر الرابط https://kas.pr/tr59.
توصيات كاسبرسكي
تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث المعلومات الخاصة بالتهديدات. وتُعتبرمنصة Kaspersky Threat Intelligence Portal نقطة واحدة إلى هذه المعلومات التي جمعتها كاسبرسكي على مدار أكثر من 20 عامًا وتشمل بيانات الهجمات الرقمية.
تنفيذ حلول EDR، مثل Kaspersky Endpoint Detection and Response، لاكتشاف التهديدات عند مستوى النقاط الطرفية والتحقيق في الحوادث ومعالجتها في الوقت المناسب.
تزويد الموظفينبالتدريب الأساسي على مبادئ الأمن الرقمي، فالعديد من الهجمات الموجهة تبدأ بالتصيد وتقوم على تقنيات الهندسة الاجتماعية الأخرى.
استخدام منتج أمني قوي يعمل عند النقاط الطرفية ويمكنه اكتشاف استخدام البرمجيات الثابتة، مثل Kaspersky Endpoint Security for Business.
عدم تحديث البرمجيات الثابتة UEFIإلاّ من موردين محلّ ثقة.
