نشر فريق الأبحاث والتحليلات الدولية من كاسبرسكي لاب بحثاً حول نشاط مجموعة تجسس إكويشن الإلكترونية، وكشف عدداً من الأعاجيب التقنية، حيث تمكنت هذه المجموعة القديمة والقوية من إنتاج سلسلة معقدة من “البذور” الخبيثة، إلا أن أكثر اكتشاف مثير للاهتمام هو قدرة البرنامج الخبيث على إعادة برمجة أقراص الضحية الصلبة، مما يجعل “بذورهم” غير مرئية وغير قابلة للإتلاف.
Suite of Sophisticated Nation-State Attack Tools Found With Connection to Stuxnet – http://t.co/FsaH0Jzq5O
— Kim Zetter (@KimZetter) February 16, 2015
وتعد هذه إحدى أكثر القصص المخيفة في عالم أمن الكمبيوتر، حيث اعتبر الفيروس الذي يواصل تقدمه في جهاز الكمبيوتر للأبد مجرد أسطورة على مدى عقود، ولكن يبدو أن الأشخاص ينفقون ملايين الدولارات لتحقيقها على أرض الواقع! وتشير الصحافة إلى قصة إكويجين بالقول بأن هذا الأمر سيتيح للقراصنة التجسس على معظم أجهزة الكمبيوتر حول العالم، إلا أننا نرفض حجم المبالغة في هذا الأمر، إذ أن احتمالية حصول هذا الأمر تشبه إمكانية رؤية حيوانات الباندا تسير في شوارع المدينة!
دعونا نبدأ بشرح معنى “القيام بإعادة برمجة البرنامج الثابت للقرص الصلب”. يتكون القرص الصلب من عنصرين مهمين: الذاكرة المتوسطة (أقراص مغناطيسية لبرامج HDD تقليدية أو رقاقات ذاكرة فلاش لبرامج SSD)، ورقاقة صغيرة، والتي تتحكم بعمليات القراءة والكتابة للقرص، إضافة إلى عدد كبير من العمليات والخدمات الأخرى، مثل اكتشاف الأخطاء وتصحيحها. وتعد عمليات الخدمة هذه ضخمة ومعقدة، حيث تنفذ الرقاقة برنامجها المتطور الخاص، وبشكل تقني، تعتبر هذه الرقاقة جهاز كمبيوتر بحد ذاتها! يدعى برنامج الرقاقة البرنامج الثابت “firmware”، وقد يرغب مزود القرص الصلب بتحديثه، وبالتالي القيام بتصحيح الأخطاء المكتشفة أو تحسين الأداء.
وقد تم اختراق هذه الآلية من قبل مجموعة إكويشن، والتي تمكنت من تحميل برنامجها الثابت الخاص على القرص الصلب ضمن ١٢ فئة مختلفة. وتبقى وظائف هذا البرنامج الثابت المعدل مجهولة، إلا أن البرنامج الخبيث على الكمبيوتر يملك القدرة على كتابة وقراءة البيانات من وإلى منطقة القرص الصلب المخصصة. ونفترض بأن هذه المنطقة تصبح مخفية تماماً عن نظام التشغيل وحتى عن برنامج خاص. وقد تساعد البيانات في هذه المنطقة على إعادة صياغة القرص الصلب، كما أن البرنامج الثابت قادر نظرياً على تعديل منطقة التمهيد للقرص الصلب، مما يؤدي إلى إصابة نظام تشغيل حديث التثبيت من البداية. ولتعقيد الأمور أكثر، فإن إعادة برمجة البرنامج الثابت تعتمد على البرنامج الثابت نفسه، وبالتالي من غير الممكن التحقق من سلامة أو ثقة البرنامج الثابت على الكمبيوتر. وبصيغة أخرى، لدى إصابة البرنامج الثابت للقرص الصلب يصبح غير مرئياً وغير قابلاً للإتلاف، ومن الأسهل والأرخص ترك قرص صلب مشبوه وشراء آخر جديد في هذه الحالة.
Normal malware: check. HDD firmware malware: check. Now we just need to worry about GPU, USB, FireWire, webcam, NIC, baseband, Bluetooth…
— Matthew Green (@matthew_d_green) February 17, 2015
وبكل الأحوال، لا تستعجل بتغيير القرص الصلب لديك، إذ أننا لا نتوقع بأن تصبح هذه الإصابة موضوعاً رئيسياً. وحتى مجموعة إكويشن نفسها لم تستخدم الأمر سوى بضع مرات، حيث أن نموذج إصابة HHD نادر جداً على أنظمة الضحايا. وللمبتدئين، فإن إعادة برمجة القرص الصلب أعقد بكثير من كتابة برنامج ويندوز على سبيل المثال. كل نموذج للقرص الصلب فريد من نوعه، ومن المكلف والشاق جداً تطوير برنامج ثابت بديل. ويتوجب على المقرصن امتلاك التوثيق الداخلي للقرص الصلب للمزود (وهو أمر شبه مستحيل)، وشراء بعض الأقراص من نفس النموذج بالضبط، وتطوير واختبار الوظائف المطلوبة، وضغط البرامج الخبيثة ضمن البرنامج الثابت الموجود، مع إبقاء وظائفه الأساسية في الوقت ذاته. وتعتبر هذه عملية هندسة على مستوى عال جداً، تتطلب أشهراً من التطوير والملايين للاستثمار، لذا لا يعتبر استخدام هذه النوعية من تكنولوجيا السرقة في البرمجيات الخبيثة المجرمة أو حتى معظم الهجمات الموجهة أمراً عملياً. وإضافة إلى ذلك، تعتبر عملية تطوير البرنامج الثابت وسيلة تجارية ومن الصعب تحجيمها. ويصدر الكثير من المصنعين البرنامج الثابت لمحركات متعددة كل شهر، وتظهر العديد من النماذج الجديدة بشكل مستمر، وبالتالي فإن قرصنة كل منها يعتبر أمراً يفوق قدرة (وحاجة) مجموعة إكويشن أو أي جهة غيرها.
"..it would take a very skilled programmer many months or years to master" reprogramming hard drives, says @vkamluk #TheSAS2015
— Kelly Jackson Higgins (@kjhiggins) February 17, 2015
إذاً، فإن العبرة العملية المستخلصة من القصة هي أن البرمجيات الخبيثة التي تصيب HDD لم تعد مجرد أسطورة، إلا أن المستخدم العادي لا يعتبر في خطر. لا تجلب مطرقة وتحطم محركاتك، إلا إذا كنت ممن يعملون في مصانع إيران النووية، وعوضاً عن ذلك خصص مزيداً من الاهتمام لأخطار أقل إثارة إلا أنها أكثر احتمالية مثل التعرض للقرصنة بسبب كلمات المرور السيئة أو انتهاء صلاحية برنامج مقاومة الفيروسات.