«كاسبرسكي»: اكتشاف حملة تجسس رقمي تستخدم برمجية خبيثة نادرة

كتب: سناء عبد الوهاب الإثنين 05-10-2020 16:27

كشف باحثو كاسبرسكي النقاب عن حملة تجسس رقمي تقف خلفها إحدى جهات التهديدات المتقدمة المستمرة وتستخدم فيها نوعًا نادرًا جدًا من البرمجيات الخبيثة يُعرف باسم firmware bootkit، لم تكن معروف سابقًا في الواجهة الموحدة والموسّعة للبرمجيات الثابتة (UEFI)، وهي جزء أساسي في أي جهاز حاسب حديث، ما يجعل من الصعب اكتشافها وإزالتها من الأجهزة المصابة. وتشكّل البرمجية المكتشفة نسخة معدلة من bootkit خاصة بمجموعة Hacking Team التخريبية، والتي كانت سُرّبت في العام 2015.

وقال باحثو «كاسبرسكي» في بيان، الإثنين، إنهم وجدوا عينة من هذه البرمجيات الخبيثة في حملة وظّفت نسخًا من بُنية معقدة متعددة المراحل يُطلق عليه اسم MosaicRegressor، واستُخدمت هذه البُنية للتجسس وجمع البيانات بعد أن لجأت إلى برمجية خبيثة لم تكن معروفة من قبل، زُرعت في UEFI لتضمن استمرارها في العمل، واستندت مكونات bootkit التي كشف النقاب عنها على bootkit يُسمّى Vector-EDK كانت طورته عصابة Hacking Team وسُرّبت شيفرته المصدرية إلى الإنترنت في العام 2015.

ويُرجّح أن تكون هذه الشيفرة سمحت للمخربين ببناء برمجيتهم الخاصة بقليل من الجهد التطويري وبكثير من الحرص على تقليل مخاطر تعرّضها للانكشاف.

وعُثر على الهجمات بمساعدة البرمجية الأمنية Firmware Scanner، التي جرى جُعلت جزءًا من منتجات كاسبرسكي منذ بداية العام 2019. وكانت هذه التقنية طُوّرت لاكتشاف التهديدات المخبّأة في الذاكرة التشغيلية للنظام، المعروفة بالاسم ROM BIOS على وجه التحديد، وبما يشمل صور البرمجيات الثابتة UEFI.

من جانبه، قال مارك ليشتيك، الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، إن «الهجمات المعروفة التي رُصدت في السابق «أعادت توظيف برمجيات رسمية، مثل LoJax، ما جعل هذا الهجوم الأول من نوعه الذي يسخّر UEFI bootkit معدلة».

وأضاف «ليتشيك» أن «هذا الهجوم يوضح استعداد الجهات التخريبية، وإن في حالات استثنائية نادرة، لبذل جهود كبيرة من أجل الحصول على أعلى مستوى من استمرارية الهجوم وإطالته على جهاز الضحية، وتواصل هذه الجهات تنويع أدواتها ورفع مستوى إبداعها في الطرق التي تستهدف بها ضحاياها، ولهذا ينبغي للشركات المنتجة للحلول الأمنية بدورها أن تحرص على رفع مستوى الابتكار، من أجل ضمان التفوق على المخربين. ولحسن الحظ، فإن قدرتنا على الجمع بين تقنياتنا المتقدمة وفهمنا العميق للحملات التخريبية الحالية والسابقة التي تستغل البرمجيات الثابتة المصابة، يساعدنا في رصد الهجمات المستقبلية والإبلاغ عنها».