المصدر -
كشف باحثو كاسبرسكي النقاب عن حملة تجسس رقمي تقف خلفها إحدى جهات التهديدات المتقدمة المستمرة وتستخدم فيها نوعًا نادرًا جدًا من البرمجيات الخبيثة يُعرف باسم firmware bootkit. واكُتشفت هذه البرمجيات الخبيثة بتقنية فحص UEFI / BIOS من كاسبرسكي، والتي تتميز بقدرتها على اكتشاف التهديدات المعروفة والمجهولة. وحدّدت تقنية الفحص برمجية خبيثة لم تكن معروف سابقًا في الواجهة الموحدة والموسّعة للبرمجيات الثابتة (UEFI)، وهي جزء أساسي في أي جهاز حاسوب حديث، ما يجعل من الصعب اكتشافها وإزالتها من الأجهزة المصابة. وتشكّل البرمجية المكتشفة نسخة معدلة من bootkit خاصة بمجموعة Hacking Team التخريبية، والتي كانت سُرّبت في العام 2015.
وتُعد البرمجيات الثابتة UEFI جزءًا أساسيًا من أي جهاز حاسوب، وتبدأ في العمل قبل نظام التشغيل وقبل جميع البرمجيات المثبتة فيها. وإذا خضعت هذه البرمجيات لأي تعديل يهدف إلى تضمينها شيفرة خبيثة، فإن هذه الشيفرة سوف تُشغّل قبل نظام التشغيل، ما يجعل نشاطها خفيًّا عن الحلول الأمنية. كذلك فإن كون البرمجيات الثابتة نفسها موجودة على شريحة ذاكرة فلاشية منفصلة عن القرص الصلب، يجعل الهجمات التي تُشنّ ضدها ذات قدرة استثنائية على المراوغة والاستمرار. وباختصار، فإن إصابة البرمجية الثابتة باستخدام bootkit يعني بقاءها مزروعة على الجهاز بغض النظر عن عدد المرات التي يُعاد فيها تثبيت نظام التشغيل.
وقد وجد باحثو كاسبرسكي عينة من هذه البرمجيات الخبيثة في حملة وظّفت نسخًا من بُنية معقدة متعددة المراحل يُطلق عليه اسم MosaicRegressor. واستُخدمت هذه البُنية للتجسس وجمع البيانات بعد أن لجأت إلى برمجية خبيثة لم تكن معروفة من قبل، زُرعت في UEFI لتضمن استمرارها في العمل. واستندت مكونات bootkit التي كشف النقاب عنها على bootkit يُسمّى Vector-EDK كانت طورته عصابة Hacking Team وسُرّبت شيفرته المصدرية إلى الإنترنت في العام 2015. ويُرجّح أن تكون هذه الشيفرة سمحت للمخربين ببناء برمجيتهم الخاصة بقليل من الجهد التطويري وبكثير من الحرص على تقليل مخاطر تعرّضها للانكشاف.
وعُثر على الهجمات بمساعدة البرمجية الأمنية Firmware Scanner، التي جرى جُعلت جزءًا من منتجات كاسبرسكي منذ بداية العام 2019. وكانت هذه التقنية طُوّرت لاكتشاف التهديدات المخبّأة في الذاكرة التشغيلية للنظام، المعروفة بالاسم ROM BIOS على وجه التحديد، وبما يشمل صور البرمجيات الثابتة UEFI.
ولم يكن من الممكن التعرّف بدقة على ناقل العدوى الذي سمح للمهاجمين بالكتابة فوق برمجيات UEFI الثابتة الأصلي، لكن خبراء كاسبرسكي استنتجوا طريقة فعل ذلك بناءً على ما عُرف عن VectorEDK من مستندات Hacking Team المسربة. وتشير هذه الطريقة، من دون استبعاد الاحتمالات الأخرى، إلى أن الإصابات قد أُحدثت بوصول المخربين شخصيًا إلى جهاز الضحية، وتحديدًا باستخدام مفتاح تشغيل قابل للتوصيل عبر منفذ USB، والذي ربما احتوى على أداة تحديث خاصة. بعد ذلك، سهلت البرمجية الثابتة، التي خضعت للتغيير، تثبيت برمجية تنزيل تروجان يتيح بدوره تنزيل أية حمولة مناسبة لاحتياجات الجهة التخريبية عند تشغيل نظام التشغيل.
لكن في معظم الحالات، يجري توصيل مكونات MosaicRegressor إلى الضحايا عبر إجراءات أقل تعقيدًا، مثل التصيد الموجّه لإيصال أداة لإسقاط البرمجيات الخبيثة مخبأة في أرشيف مع ملف مفخخ. وقد مكنت البنية المعقدة متعددة المراحل للمنظومة الخبيثة المهاجمين من إخفائها عن الرصد والتحليل، وتوظيف مكونات معينة لاستهداف الأجهزة عند الطلب فقط. وكانت البرمجية الخبيثة التي ثُبّتت في البداية على الجهاز المصاب عبارة عن برمجية لتنزيل التروجانات، قادرة على تنزيل حمولة خبيثة إضافية وبرمجيات خبيثة أخرى. ويمكن للبرمجية الخبيثة، اعتمادًا على الحمولة المنزّلة، تنزيل أو تحميل ملفات من أو إلى عناوين ويب وجمع المعلومات من الجهاز المستهدف.
وتمكن الباحثون من تحديد استخدام MosaicRegressor في سلسلة من الهجمات الموجهة استهدفت دبلوماسيين وأعضاء في منظمات غير حكومية في إفريقيا وآسيا وأوروبا، وذلك بناءً على انتماء الضحايا المكتشفين. وتضمنت بعض الهجمات وثائق للتصيد الموجّه باللغة الروسية، في حين كان بعضها مرتبطًا بكوريا الشمالية واستُخدِمت وسيلة إغراء لتنزيل البرمجيات الخبيثة.
هذا ولم تُربط الحملة بأي من الجهات التخريبية المعروفة التي تقف وراء التهديدات المتقدمة المستمرة.
وعلى الرغم من أن الهجمات باستخدام UEFI تتيح فرصًا واسعة أمام جهات التهديدات الرقمية، فإن MosaicRegressor تُعتبر أول حالة معروفة علنًا تستخدم فيها جهة التهديدات برمجية ثابتة UEFI خبيثة معدلة استخدامًا واقعيًا، بحسب ما أكّد مارك ليشتيك الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، الذي قال إن الهجمات المعروفة التي رُصدت في السابق "أعادت توظيف برمجيات رسمية، مثل LoJax، ما جعل هذا الهجوم الأول من نوعه الذي يسخّر UEFI bootkit معدلة".
وأضاف: "يوضح هذا الهجوم استعداد الجهات التخريبية، وإن في حالات استثنائية نادرة، لبذل جهود كبيرة من أجل الحصول على أعلى مستوى من استمرارية الهجوم وإطالته على جهاز الضحية. وتواصل هذه الجهات تنويع أدواتها ورفع مستوى إبداعها في الطرق التي تستهدف بها ضحاياها، ولهذا ينبغي للشركات المنتجة للحلول الأمنية بدورها أن تحرص على رفع مستوى الابتكار، من أجل ضمان التفوق على المخربين. ولحسن الحظ، فإن قدرتنا على الجمع بين تقنياتنا المتقدمة وفهمنا العميق للحملات التخريبية الحالية والسابقة التي تستغل البرمجيات الثابتة المصابة، يساعدنا في رصد الهجمات المستقبلية والإبلاغ عنها".
من جانبه، أشار إيغور كوزنتسوف الباحث الأمني الرئيس في فريق البحث والتحليل العالمي لدى كاسبرسكي، إلى أن استخدام شيفرة مصدرية مُسرّبة من طرف ثالث وتعديلها لإنتاج برمجية خبيثة متقدمة جديدة "يذكرنا مرة أخرى بأهمية أمن البيانات"، وقال: "تنال الجهات التي تقف وراء التهديدات الرقمية ميزة كبيرة بمجرد أن تُسرّب برمجية خبيثة من أي نوع، نظرًا لأن الأدوات المتاحة مجانًا تتيح لها الفرصة لتطوير أدواتها وتعديلها بجهد أقلّ وفرص أقلّ للاكتشاف".
يمكن الاطلاع على تحليل تفصيلي لبُنية MosaicRegressor ومكوناتها على Securelist.
كما يمكن التسجيل في SAS@Home لمشاهدة العرض التعريفي الخاص بـ MosaicRegressor ومعرفة المزيد حول التهديدات المتقدمة المستمرة والاكتشافات الأمنية الرقمية عالية المستوى عبر الرابط https://kas.pr/tr59.
وتوصي كاسبرسكي باتباع التدابير التالية للحماية من تهديدات مثل MosaicRegressor:
• تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث المعلومات الخاصة بالتهديدات. وتُعتبر منصة Kaspersky Threat Intelligence Portal نقطة واحدة إلى هذه المعلومات التي جمعتها كاسبرسكي على مدار أكثر من 20 عامًا وتشمل بيانات الهجمات الرقمية.
• تنفيذ حلول EDR، مثل Kaspersky Endpoint Detection and Response، لاكتشاف التهديدات عند مستوى النقاط الطرفية والتحقيق في الحوادث ومعالجتها في الوقت المناسب.
• تزويد الموظفين بالتدريب الأساسي على مبادئ الأمن الرقمي، فالعديد من الهجمات الموجهة تبدأ بالتصيد وتقوم على تقنيات الهندسة الاجتماعية الأخرى.
• استخدام منتج أمني قوي يعمل عند النقاط الطرفية ويمكنه اكتشاف استخدام البرمجيات الثابتة، مثل Kaspersky Endpoint Security for Business.
• عدم تحديث البرمجيات الثابتة UEFI إلاّ من موردين محلّ ثقة.
وتُعد البرمجيات الثابتة UEFI جزءًا أساسيًا من أي جهاز حاسوب، وتبدأ في العمل قبل نظام التشغيل وقبل جميع البرمجيات المثبتة فيها. وإذا خضعت هذه البرمجيات لأي تعديل يهدف إلى تضمينها شيفرة خبيثة، فإن هذه الشيفرة سوف تُشغّل قبل نظام التشغيل، ما يجعل نشاطها خفيًّا عن الحلول الأمنية. كذلك فإن كون البرمجيات الثابتة نفسها موجودة على شريحة ذاكرة فلاشية منفصلة عن القرص الصلب، يجعل الهجمات التي تُشنّ ضدها ذات قدرة استثنائية على المراوغة والاستمرار. وباختصار، فإن إصابة البرمجية الثابتة باستخدام bootkit يعني بقاءها مزروعة على الجهاز بغض النظر عن عدد المرات التي يُعاد فيها تثبيت نظام التشغيل.
وقد وجد باحثو كاسبرسكي عينة من هذه البرمجيات الخبيثة في حملة وظّفت نسخًا من بُنية معقدة متعددة المراحل يُطلق عليه اسم MosaicRegressor. واستُخدمت هذه البُنية للتجسس وجمع البيانات بعد أن لجأت إلى برمجية خبيثة لم تكن معروفة من قبل، زُرعت في UEFI لتضمن استمرارها في العمل. واستندت مكونات bootkit التي كشف النقاب عنها على bootkit يُسمّى Vector-EDK كانت طورته عصابة Hacking Team وسُرّبت شيفرته المصدرية إلى الإنترنت في العام 2015. ويُرجّح أن تكون هذه الشيفرة سمحت للمخربين ببناء برمجيتهم الخاصة بقليل من الجهد التطويري وبكثير من الحرص على تقليل مخاطر تعرّضها للانكشاف.
وعُثر على الهجمات بمساعدة البرمجية الأمنية Firmware Scanner، التي جرى جُعلت جزءًا من منتجات كاسبرسكي منذ بداية العام 2019. وكانت هذه التقنية طُوّرت لاكتشاف التهديدات المخبّأة في الذاكرة التشغيلية للنظام، المعروفة بالاسم ROM BIOS على وجه التحديد، وبما يشمل صور البرمجيات الثابتة UEFI.
ولم يكن من الممكن التعرّف بدقة على ناقل العدوى الذي سمح للمهاجمين بالكتابة فوق برمجيات UEFI الثابتة الأصلي، لكن خبراء كاسبرسكي استنتجوا طريقة فعل ذلك بناءً على ما عُرف عن VectorEDK من مستندات Hacking Team المسربة. وتشير هذه الطريقة، من دون استبعاد الاحتمالات الأخرى، إلى أن الإصابات قد أُحدثت بوصول المخربين شخصيًا إلى جهاز الضحية، وتحديدًا باستخدام مفتاح تشغيل قابل للتوصيل عبر منفذ USB، والذي ربما احتوى على أداة تحديث خاصة. بعد ذلك، سهلت البرمجية الثابتة، التي خضعت للتغيير، تثبيت برمجية تنزيل تروجان يتيح بدوره تنزيل أية حمولة مناسبة لاحتياجات الجهة التخريبية عند تشغيل نظام التشغيل.
لكن في معظم الحالات، يجري توصيل مكونات MosaicRegressor إلى الضحايا عبر إجراءات أقل تعقيدًا، مثل التصيد الموجّه لإيصال أداة لإسقاط البرمجيات الخبيثة مخبأة في أرشيف مع ملف مفخخ. وقد مكنت البنية المعقدة متعددة المراحل للمنظومة الخبيثة المهاجمين من إخفائها عن الرصد والتحليل، وتوظيف مكونات معينة لاستهداف الأجهزة عند الطلب فقط. وكانت البرمجية الخبيثة التي ثُبّتت في البداية على الجهاز المصاب عبارة عن برمجية لتنزيل التروجانات، قادرة على تنزيل حمولة خبيثة إضافية وبرمجيات خبيثة أخرى. ويمكن للبرمجية الخبيثة، اعتمادًا على الحمولة المنزّلة، تنزيل أو تحميل ملفات من أو إلى عناوين ويب وجمع المعلومات من الجهاز المستهدف.
وتمكن الباحثون من تحديد استخدام MosaicRegressor في سلسلة من الهجمات الموجهة استهدفت دبلوماسيين وأعضاء في منظمات غير حكومية في إفريقيا وآسيا وأوروبا، وذلك بناءً على انتماء الضحايا المكتشفين. وتضمنت بعض الهجمات وثائق للتصيد الموجّه باللغة الروسية، في حين كان بعضها مرتبطًا بكوريا الشمالية واستُخدِمت وسيلة إغراء لتنزيل البرمجيات الخبيثة.
هذا ولم تُربط الحملة بأي من الجهات التخريبية المعروفة التي تقف وراء التهديدات المتقدمة المستمرة.
وعلى الرغم من أن الهجمات باستخدام UEFI تتيح فرصًا واسعة أمام جهات التهديدات الرقمية، فإن MosaicRegressor تُعتبر أول حالة معروفة علنًا تستخدم فيها جهة التهديدات برمجية ثابتة UEFI خبيثة معدلة استخدامًا واقعيًا، بحسب ما أكّد مارك ليشتيك الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، الذي قال إن الهجمات المعروفة التي رُصدت في السابق "أعادت توظيف برمجيات رسمية، مثل LoJax، ما جعل هذا الهجوم الأول من نوعه الذي يسخّر UEFI bootkit معدلة".
وأضاف: "يوضح هذا الهجوم استعداد الجهات التخريبية، وإن في حالات استثنائية نادرة، لبذل جهود كبيرة من أجل الحصول على أعلى مستوى من استمرارية الهجوم وإطالته على جهاز الضحية. وتواصل هذه الجهات تنويع أدواتها ورفع مستوى إبداعها في الطرق التي تستهدف بها ضحاياها، ولهذا ينبغي للشركات المنتجة للحلول الأمنية بدورها أن تحرص على رفع مستوى الابتكار، من أجل ضمان التفوق على المخربين. ولحسن الحظ، فإن قدرتنا على الجمع بين تقنياتنا المتقدمة وفهمنا العميق للحملات التخريبية الحالية والسابقة التي تستغل البرمجيات الثابتة المصابة، يساعدنا في رصد الهجمات المستقبلية والإبلاغ عنها".
من جانبه، أشار إيغور كوزنتسوف الباحث الأمني الرئيس في فريق البحث والتحليل العالمي لدى كاسبرسكي، إلى أن استخدام شيفرة مصدرية مُسرّبة من طرف ثالث وتعديلها لإنتاج برمجية خبيثة متقدمة جديدة "يذكرنا مرة أخرى بأهمية أمن البيانات"، وقال: "تنال الجهات التي تقف وراء التهديدات الرقمية ميزة كبيرة بمجرد أن تُسرّب برمجية خبيثة من أي نوع، نظرًا لأن الأدوات المتاحة مجانًا تتيح لها الفرصة لتطوير أدواتها وتعديلها بجهد أقلّ وفرص أقلّ للاكتشاف".
يمكن الاطلاع على تحليل تفصيلي لبُنية MosaicRegressor ومكوناتها على Securelist.
كما يمكن التسجيل في SAS@Home لمشاهدة العرض التعريفي الخاص بـ MosaicRegressor ومعرفة المزيد حول التهديدات المتقدمة المستمرة والاكتشافات الأمنية الرقمية عالية المستوى عبر الرابط https://kas.pr/tr59.
وتوصي كاسبرسكي باتباع التدابير التالية للحماية من تهديدات مثل MosaicRegressor:
• تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث المعلومات الخاصة بالتهديدات. وتُعتبر منصة Kaspersky Threat Intelligence Portal نقطة واحدة إلى هذه المعلومات التي جمعتها كاسبرسكي على مدار أكثر من 20 عامًا وتشمل بيانات الهجمات الرقمية.
• تنفيذ حلول EDR، مثل Kaspersky Endpoint Detection and Response، لاكتشاف التهديدات عند مستوى النقاط الطرفية والتحقيق في الحوادث ومعالجتها في الوقت المناسب.
• تزويد الموظفين بالتدريب الأساسي على مبادئ الأمن الرقمي، فالعديد من الهجمات الموجهة تبدأ بالتصيد وتقوم على تقنيات الهندسة الاجتماعية الأخرى.
• استخدام منتج أمني قوي يعمل عند النقاط الطرفية ويمكنه اكتشاف استخدام البرمجيات الثابتة، مثل Kaspersky Endpoint Security for Business.
• عدم تحديث البرمجيات الثابتة UEFI إلاّ من موردين محلّ ثقة.