تم ربط غرسة برامج ثابتة غير موثقة سابقًا تم نشرها للحفاظ على استمرار التخفي كجزء من حملة تجسس مستهدفة بمجموعة Winnti المتطورة للتهديد المستمر الناطق باللغة الصينية (APT41).
كاسبيرسكي ، الذي أطلق عليه الاسم الرمزي rootkit مون باونس, تتميز البرامج الضارة باعتبارها "الأكثر تقدمًا UEFI تم اكتشاف غرسة البرامج الثابتة في البرية حتى الآن "، مضيفًا" الغرض من الغرسة هو تسهيل نشر البرامج الضارة في وضع المستخدم التي تقوم بتنفيذ مزيد من الحمولات التي يتم تنزيلها من الإنترنت. "
الجذور الخفية المستندة إلى البرامج الثابتة ، التي كانت نادرة في مشهد التهديدات ، أصبحت سريعًا أدوات مربحة بين الجهات الفاعلة المتطورة للمساعدة في تحقيق موطئ قدم طويل الأمد بطريقة ليس من الصعب اكتشافها فحسب ، بل يصعب أيضًا إزالتها.
أول روتكيت على مستوى البرامج الثابتة - يطلق عليها اسم LoJax - تم اكتشافه في البرية عام 2018. ومنذ ذلك الحين ، تم اكتشاف ثلاث حالات مختلفة من برمجيات UEFI الضارة حتى الآن ، بما في ذلك الفسيفساء, FinFisherو إسبكتر.
MoonBounce مثيرة للقلق لعدد من الأسباب. على عكس FinFisher و ESPecter ، اللذان يستهدفان قسم نظام EFI (ESP) ، فإن الجذور الخفية المكتشفة حديثًا - بجانب أمثال LoJax و MosaicRegressor - تستهدف ملفات فلاش SPI، تخزين غير متطاير خارج القرص الصلب.
يتم وضع برامج bootkit الخبيثة شديدة الثبات في وحدة تخزين فلاش SPI التي يتم لحامها باللوحة الأم للكمبيوتر ، مما يجعل من المستحيل التخلص منها عن طريق استبدال محرك الأقراص الثابتة وحتى مقاومة إعادة تثبيت نظام التشغيل.
قالت شركة الأمن السيبراني الروسية إنها حددت وجود rootkit للبرامج الثابتة في حادثة واحدة العام الماضي ، مما يشير إلى الطبيعة المستهدفة للغاية للهجوم. ومع ذلك ، فإن الآلية الدقيقة التي تم من خلالها إصابة برنامج UEFI الثابت لا تزال غير واضحة.
ومما يزيد من سرعتها حقيقة أن أحد مكونات البرنامج الثابت الحالي قد تم العبث به لتغيير سلوكه - بدلاً من إضافة محرك جديد إلى الصورة - بهدف تحويل تدفق تنفيذ تسلسل التمهيد إلى "سلسلة عدوى" ضارة تقوم بحقن البرنامج الضار في وضع المستخدم أثناء بدء تشغيل النظام ، والذي يصل بعد ذلك إلى خادم بعيد مشفر لاسترداد حمولة المرحلة التالية.
وأشار الباحثون إلى أن "سلسلة العدوى نفسها لا تترك أي أثر على القرص الصلب ، حيث تعمل مكوناته في الذاكرة فقط ، مما يسهل هجومًا بدون ملفات مع بصمة صغيرة" ، مضيفين أنها كشفت عن غرسات أخرى غير مرتبطة بـ UEFI في الهدف المستهدف تتواصل الشبكة مع نفس البنية التحتية التي استضافت الحمولة المرحلية.
من بين المكونات الرئيسية التي تم نشرها عبر عقد متعددة في الشبكة بابًا خلفيًا يتم تتبعه باسم ScrambleCross (ويعرف أيضًا باسم ممر) وعدد من عمليات زرع البرامج الضارة بعد الاستغلال ، مما يشير إلى أن المهاجمين أجروا حركة جانبية بعد حصولهم على وصول أولي من أجل سرقة البيانات من أجهزة معينة.
لمواجهة مثل هذه التعديلات على مستوى البرامج الثابتة ، يوصى بتحديث البرامج الثابتة UEFI بانتظام بالإضافة إلى تمكين الحماية مثل حارس التمهيد, التمهيد الآمن، والوحدات النمطية للنظام الأساسي الموثوق به (TPM).
"يمثل MoonBounce تطورًا خاصًا في هذه المجموعة من التهديدات من خلال تقديم تدفق هجوم أكثر تعقيدًا مقارنة بأسلافه ومستوى أعلى من الكفاءة التقنية من قبل مؤلفيه ، الذين يظهرون فهمًا شاملاً للتفاصيل الدقيقة التي تنطوي عليها عملية تمهيد UEFI ، قال الباحثون.
المصدر: https://thehackernews.com/2022/01/chinese-hackers-spotted-using-new-uefi.html
