ستساعدك المقالة التالية: تصيب هذه البرامج الضارة اللوحة الأم ويكاد يكون من المستحيل إزالتها
اكتشف الباحثون برمجيات خبيثة تصيب الأنظمة التي تضم اللوحات الأم Asus و Gigabyte منذ ست سنوات على الأقل.
منذ عام 2016 ، كان المتسللون الناطقون باللغة الصينية يتسللون إلى الأجهزة باستخدام البرامج الضارة CosmicStrand ، وفقًا لتقرير صادر عن Bleeping Computer.
والجدير بالذكر أنه بمجرد توزيع الشفرة الخبيثة ، فإنها تظل غير مكتشفة إلى حد كبير داخل صور البرامج الثابتة لبعض اللوحات الأم. تم تصنيف هذه الطريقة الخاصة لاستهداف صور البرامج الثابتة على أنها مجموعة أدوات rootkit لواجهة البرامج الثابتة الموسعة الموحدة (UEFI).
تم تسمية هذه السلالة باسم CosmicStrand من قبل باحثين يعملون في شركة الأمن السيبراني Kaspersky. ومع ذلك ، تم اكتشاف نسخة سابقة من البرنامج الضار – يطلق عليها اسم Spy Shadow Trojan – في البداية من قبل المحللين في Qihoo360.
كمرجع ، يعد UEFI تطبيقًا مهمًا يربط نظام تشغيل بالبرنامج الثابت للجهاز نفسه. على هذا النحو ، فإن كود UEFI هو ما يتم تشغيله عند بدء تشغيل الكمبيوتر في البداية ، حتى قبل أي إجراءات أمنية للنظام.
نتيجة لذلك ، فإن البرامج الضارة التي تم وضعها في صورة البرنامج الثابت UEFI فعالة للغاية في التهرب من إجراءات الكشف. لكن الأمر الأكثر إثارة للقلق هو حقيقة أنه لا يمكن إزالة البرامج الضارة تقنيًا عن طريق تشغيل إعادة تثبيت نظيف لنظام التشغيل. لا يمكنك التخلص منه حتى عن طريق استبدال محرك التخزين.
قال Mark Lechtik ، الذي عمل سابقًا كمهندس عكسي في Kaspersky: “تم تعديل برنامج التشغيل هذا لاعتراض تسلسل التمهيد وإدخال منطق ضار إليه”.
قالت Kaspersky إنها وجدت أنه تم اكتشاف الجذور الخفية CosmicStrand UEFI ضمن صور البرامج الثابتة للوحات الأم Gigabyte أو Asus باستخدام مجموعة شرائح H81 ، والتي ترتبط بالأجهزة التي تم بيعها بين عامي 2013 و 2015.
ضحايا CosmicStrand هم أفراد عاديون موجودون داخل الصين وإيران وفيتنام وروسيا ، وبالتالي لا يمكن إنشاء روابط مع دولة أو منظمة أو صناعة قومية. ومع ذلك ، أكد الباحثون وجود رابط CosmicStrand لممثل تهديد يتحدث الصينية بسبب أنماط التعليمات البرمجية التي ظهرت في الروبوتات المنفصلة الخاصة بالتشفير.
شدد كاسبيرسكي على أن مجموعة الجذور الخفية للبرامج الثابتة CosmicStrand UEFI يمكن أن تظل إلى حد ما على نظام مصاب إلى الأبد.
تم الإبلاغ عن البرامج الضارة لـ UEFI لأول مرة في عام 2018 من قبل شركة أمان أخرى عبر الإنترنت ، ESET. المعروف باسم LoJax ، تم استخدامه من قبل قراصنة روس ينتمون إلى مجموعة APT28. منذ ذلك الحين ، ازدادت كمية أنظمة إصابة الجذور الخفية المستندة إلى UEFI بشكل مطرد ، والتي تتضمن ESPecter – وهي مجموعة قيل إنها تم نشرها لأغراض التجسس منذ عام 2012.
في مكان آخر ، قال محللون أمنيون إنهم اكتشفوا برنامج UEFI الثابت “الأكثر تقدمًا” في وقت سابق من هذا العام في شكل MoonBounce.
لقد كان عامًا حافلًا بالمجموعات والمتسللين المشاركين في مجتمع البرامج الضارة. في الآونة الأخيرة ، تمكنت الجهات الفاعلة في مجال التهديد من استخدام Microsoft Calculator لتوزيع التعليمات البرمجية الضارة ، بينما أطلقت Microsoft نفسها مبادرة جديدة حيث تتيح للشركات الوصول إلى خدمات الأمان الداخلية الخاصة بها.
