CosmicStrand: مجموعة أدوات تحكم UEFI الخفية

فحص باحثونا إصدارًا جديدًا من مجموعة أدوات CosmicStrand الخفية ووجدوها في برنامج UEFIالثابت المعدل (واجهة البرنامج الثابت الممتد) — ضمن الرمز الذي يتم تحميله أولاً ويبدأ عملية تمهيد نظام التشغيل عند تشغيل الكمبيوتر.

خطر البرمجيات الخبيثة في UEFI‏

نظرًا لأن البرنامج الثابت UEFI مضمن في رقاقة على اللوحة الرئيسية وليس مكتوبًا على محرك القرص الثابت، فهو محصن ضد أي تلاعب بمحرك القرص الثابت.لذلك، من الصعب للغاية التخلص من البرامج الضارة المستندة إلى UEFI: حتى مسح محرك الأقراص وإعادة تثبيت نظام التشغيل لن يؤثرا على UEFI. لهذا السبب نفسه، لا يمكن لجميع حلول الأمان اكتشاف البرامج الضارة المخفية في UEFI. ببساطة، بمجرد أن تصل البرمجيات الخبيثة إلى البرنامج الثابت، فإنها ستبقى هناك.

بالطبع، إن عدوى UEFI ليست مهمة بسيطة: هذا يتطلب الوصول المادي إلى الجهاز، أو بعض الآليات المتطورة لعدوى البرنامج الثابت عن بُعد. علاوة على ذلك، لتحقيق الهدف النهائي، أيًا كان، لا يجب أن يكون البرنامج الخبيث موجودًا في UEFI فحسب، بل يجب أن يخترق نظام التشغيل عند بدء التشغيل، وهو أمر في غاية الصعوبة. كل هذا يتطلب جهدًا كبيرًا لينجح، ولهذا السبب غالبًا ما نجد هذه البرامج الخبيثة في الهجمات المستهدفة ضد الأفراد أو المنظمات البارزة.

الضحايا وناقلو العدوى المحتملون لـ CosmicStrand‏

من الغريب أن ضحايا CosmicStrand الذين حددهم باحثونا كانوا أناسًا عاديين يستخدمون برامج مكافحة الفيروسات المجانية لدينا. على ما يبدو لم يكن لهم علاقة بأي منظمة تهم المهاجمين من هذا العيار. كما اتضح أن اللوحات الرئيسية المصابة في جميع الحالات المعروفة جاءت من اثنتين فقط من الشركات المصنعة. لذلك، من المحتمل أن المهاجمين وجدوا بعض نقاط الضعف الشائعة في هذه اللوحات الرئيسية التي جعلت عدوى UEFI ممكنة.

من غير المعروف بالضبط كيف تمكن مجرمو الإنترنت من تسليم البرمجيات الخبيثة. قد تشير حقيقة أن ضحايا CosmicStrand هؤلاء لم يكونوا أهدافًا كبيرة إلى أن المهاجمين وراء أدوات التحكم الخفية هذه يمكن أن يصيبوا UEFI عن بُعد. ولكن هناك تفسيرات محتملة

أخرى: على سبيل المثال، خبراء في Qihoo 360، بعد التحقيق في الإصدارات المبكرة من CosmicStrand لعام 2016، اقترحوا أن إحدى الضحايا قد اشترى لوحة رئيسية معدلة من بائع.ولكن في هذه الحالة، لم يتمكن خبراؤنا من تأكيد استخدام أي طريقة عدوى معينة.

ما يفعله CosmicStrand‏

الغرض الرئيسي من CosmicStrand هو تنزيل برنامج ضار عند بدء تشغيل نظام التشغيل، والذي يؤدي بعد ذلك المهام التي يحددها المهاجمون. بعد اجتياز جميع مراحل عملية تمهيد نظام التشغيل بنجاح، تقوم مجموعة أدوات التحكم الخفية في النهاية بتشغيل نص واجهة الأوامر البرمجي والاتصال بخادم C2 للمهاجمين، والذي تتلقى منه الحمولة الضارة.

[ سلسلة عدوى أدوات تحكم CosmicStrand الخفية]

لم يتمكن باحثونا من اعتراض الملف الذي استلمته مجموعة أدوات التحكم الخفية من خادم C2. بدلاً من ذلك، على أحد الأجهزة المصابة، وجدوا قطعة من البرامج الضارة التي من المحتمل أن تكون مرتبطة بـ CosmicStrand. ينشئ هذا البرنامج الضار مستخدمًا باسم “aaaabbbb” في نظام التشغيل ويعطيه حقوق المسؤول المحلي. لمزيد من التفاصيل الفنية حول CosmicStrand، راجع منشور خبرائنا على Securelist لدينا.

هل يجب أن نخاف من أدوات التحكم الخفية؟

منذ عام 2016، كانت أدوات CosmicStrand تخدم المجرمين السيبرانيين بشكل جيد، ولم تجذب اهتمام الباحثين في مجال أمان المعلومات. هذا مقلق بالطبع، لكن الأمر ليس كله مساوئ. أولاً، هذا مثال على البرمجيات الخبيثة المتطورة والمكلفة المستخدمة للهجمات المستهدِفة، وليست الجماعية — حتى لو كانت الهجمات ضد أناس عشوائيين في بعض الأحيان. ثانيًا، هناك منتجات أمنية قادرة على اكتشاف مثل هذه البرامج الضارة. على سبيل المثال،  حلول الأمان لدينا   تحمي مستخدمينا من أدوات التحكم الخفية.