أكثر مراوغة واستمرارية: مجموعة أدوات البرمجيات الثابتة Bootkit الثالثة المعروفة تُظهر تقدمًا ملحوظًا
أزاح باحثو كاسبرسكي الستار عن ثالث حالة نشطة لمجموعة أدوات البرمجيات الثابتة Bootkit، وأطلقوا عليها اسم MoonBounce. وتأتي هذه المجموعة البرمجية الخبيثة متخفية في الواجهة الموحدة والموسّعة للبرمجيات الثابتة (UEFI)، وهي جزء أساسي من أجهزة الحاسوب، وتحديدًا في الذاكرة الفلاشية SPI، مكون التخزين الواقع خارج القرص الصلب. ومن المعروف أنه يصعب إزالة مثل هذه الغرسات الخبيثة، كما يصعب على البرمجيات الأمنية اكتشافها. وتُعدّ MoonBounce، الذي ظهر بعد لأول مرة في ربيع العام 2021، مثالًا على هجوم متطور ومتقدّم بالمقارنة مع مجموعات أدوات Bootkit التي تستهدف واجهة UEFI والمُبلغ عنها سابقًا. وقد نسب خبراء كاسبرسكي الحملة بثقة عالية إلى عصابة التهديدات المتقدمة المستمرة المعروفة APT41.
وتُعدّ الواجهة الموحدة والموسّعة للبرمجيات الثابتة (UEFI) مكونًا مهمًا في الأغلبية العظمى من الأجهزة، وشيفرتها البرمجية مسؤولة عن تشغيل الجهاز وتمرير التحكّم إلى البرمجية المسؤولة عن تحميل نظام التشغيل. وتقع هذه الشيفرة في جزء يُدعى “الذاكرة الفلاشية SPI”، وهي عبارة عن وحدة تخزين لذاكرة غير متطايرة تقع خارج القرص الصلب في الجهاز. وإذا احتوت البرمجية الثابتة على شيفرة خبيثة، فإنها سوف تُفعّل قبل أن يشتغل نظام التشغيل، ما يصعّب التخلص من البرمجية الخبيثة المزروعة، حتى عند إعادة تهيئة القرص الصلب أو إعادة تثبيت نظام التشغيل. وإضافة إلى ذلك، ونظرًا لوجود الشيفرة خارج القرص الصلب، فإن معظم حلول الأمن غير قادرة على اكتشاف نشاط مجموعة الأدوات التشغيلية هذه، ما لم تكن تلك الحلول مجهزة بميزة تفحّص هذا الجزء من الجهاز على وجه التحديد.
وليست MoonBounce سوى ثالث Bootkit تصيب UEFI ويجري الإبلاغ عن نشاطها التخريبي. وعُثر على هذه البرمجية بمساعدة البرمجية الأمنية Firmware Scanner، التي جُعلت جزءًا من منتجات كاسبرسكي منذ بداية العام 2019. وكانت هذه التقنية طُوّرت لاكتشاف التهديدات المخبّأة في الذاكرة التشغيلية للنظام، المعروفة بالاسم ROM BIOS على وجه التحديد، والتي تشتمل على صور البرمجيات الثابتة UEFI. وتُظهر MoonBounce تقدمًا كبيرًا عند مقارنتها مع نظيرتيها المكتشفتين سابقًا؛ LoJax وMosaicRegressor، مع ارتفاع في سلاسة الهجوم وتعقيده نظرًا لتطورها التقني.
تقع الغرسة في المكوّن CORE_DXE من البرمجية الثابتة، والذي يُستدعى مبكرًا أثناء التسلسل التشغيلي لواجهة UEFI. ثم تشقّ مكونات الغرسة طريقها إلى نظام التشغيل، عبر سلسلة من الخطافات التي تعترض وظائف معينة، لتصل إلى خادم القيادة والسيطرة من أجل استرداد المزيد من الحمولات الخبيثة، والتي لم يتمكن المعنيون من استردادها.
وتجدر الإشارة هنا إلى أن سلسلة الإصابة نفسها لا تترك أي أثر على القرص الصلب، إذ تعمل مكوناتها في الذاكرة فقط، ما يسهل شنّ هجوم ذي بصمة صغيرة ومن دون ملفات.
واكتشف باحثو كاسبرسكي أثناء التحقيق في MoonBounce العديد من برمجيات التحميل الخبيثة والبرمجيات الخبيثة التي تنشط بعد الاختراق عبر عدّة عُقد في الشبكة نفسها، وتتضمن ScrambleCross أو Sidewalk، الغرسة التي تُزرع في الذاكرة ويمكنها الاتصال بخادم القيادة والسيطرة لتبادل المعلومات وتنفيذ مكونات إضافية، وMimikat_ssp، الأداة المتاحة للجمهور والمستخدمة لتفريغ بيانات اعتماد الدخول وأسرار الأمان، كما تشتمل على منفذ خلفي قائم على Golang لم يكن معروفًا سابقًا، وMicrocin، البرمجية الخبيثة المستخدمة عادةً من قبل عصابة SixLittleMonkeys.
ومن المحتمل أن تكون MoonBounce تنزّل هذه البرمجيات الخبيثة، أو أن إحدى هذه البرمجيات تسبّبت بإصابة سابقة ومهّدت الطريق أمام MoonBounce للسيطرة على الجهاز والحصول على موطئ قدم في الشبكة.
وتشمل طرق الإصابة الأخرى المحتملة بـ MoonBounce، اختراق الجهاز قبل تزويد الشركة المستهدفة به. وفي كل الأحوال، يُقدّر بأن الإصابة تحدث من خلال استهداف الجهاز عن بُعد. بالإضافة إلى ذلك، تعدل برمجية MoonBounce إحدى مكونات البرمجيات الثابتة الحالية لتحقيق هجوم أكثر دقة وخِفية، في حين أن LoJax وMosaicRegressor استخدما إضافات من مشغلات DXE لتحقيق هذا الغرض.
وكان من الواضح في الحملة الشاملة التي شُنّت على الشبكة المعنية، أن المهاجمين نفذوا مجموعة واسعة من الإجراءات، كأرشفة الملفات وجمع معلومات الشبكة. وتشير الأوامر التي استخدمها المهاجمون خلال نشاطهم إلى اهتمامهم بالحركة العرَضية للبيانات واستخراجها، كما يُحتمل أن المهاجمين كانوا مهتمين بإجراء نشاط تجسس مستمر، نظرًا لاستخدامهم غرسة UEFI.
ونسبت كاسبرسكي MoonBounce بثقة كبيرة إلى عصابة APT41 التخريبية الشهيرة، التي يُعتقد على نطاق واسع أنها إحدى جهات التهديد الناطقة بالصينية، والتي قامت بحملات تجسس إلكتروني وجرائم رقمية في جميع أنحاء العالم منذ العام 2012 على الأقلّ. ويشير وجود بعض البرمجيات الخبيثة المذكورة في الشبكة نفسها إلى وجود اتصال محتمل بين APT41 وجهات تخريبية أخرى ناطقة باللغة الصينية.
وعُثر حتى الآن على Bootkit على جهاز واحد لشركة قابضة في سوق التقنيات الفائقة، لكن عُثر على عينات خبيثة أخرى تابعة (مثل ScrambleCross وأدوات تحميلها) على شبكات العديد من الضحايا الآخرين.
ويبدو الأمر كما لو أن بعض الجهات التخريبية الناطقة بالصينية تتشارك في الأدوات وتتعاون في شنّ الحملات المختلفة، بحسب دنيس ليغيزو الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، الذي أكّد أنه “لا يمكننا ربط عمليات زرع البرمجيات الخبيثة الإضافية التي عُثر عليها أثناء تحقيقنا الخاص بـ MoonBounce ربطًا دقيقًا”، معتبرًا أن هناك ارتباط بمستوى منخفض من الثقة بين MoonBounce وMicrocin.
من جهته، أوضح مارك ليشتيك الباحث الأمني الأول في فريق البحث والتحليل العالمي بأن أحدث Bootkit المكتشف حديثًا يشتمل على التطورات ذاتها التي لوحظت في MosaicRegressor، الذي قدمت كاسبرسكي تقريرًا عنه في العام 2020. واعتبر أن تحويل مكون أساسي حميد في البرمجيات الثابتة إلى عنصر خبيث يمكنه تسهيل توظيف برمجيات خبيثة في الأنظمة المستهدفة “ابتكار لم يُشاهد في مجموعات Bootkit المماثلة السابقة التي استخدمت في هجمات واقعية، من شأنه أن يجعل التهديد أكثر خِفية وقدرة على التستّر”.
وأضاف: “توقعنا في العام 2018 أن تحظى تهديدات UEFI بالرواج، ويبدو أن هذا التوجه بدأ يتحقق، ولن نفاجأ بالعثور على مزيد من هذه التهديدات في العام 2022. لكن منتجي الحلول الأمنية بدأوا يولون هذا النوع من الهجمات المزيد من الاهتمام، مع اعتماد المزيد من تقنيات أمن البرمجيات الثابتة، مثل BootGuard ووحدات المنصات الموثوق بها”.
يمكن الاطلاع على التقرير الكامل حول برمجية MoonBounce على Securelist، للحصول على تحليل أكثر تفصيلًا.
وتوصي كاسبرسكي باتباع التدابير التالية للحماية من مجموعات Bootkit التي تستهدف واجهات UEFI مثل MoonBounce:
• تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث المعلومات الخاصة بالتهديدات. وتُعتبر منصة Kaspersky Threat Intelligence Portal نقطة واحدة إلى هذه المعلومات التي جمعتها كاسبرسكي على مدار أكثر من 20 عامًا وتشمل بيانات الهجمات الرقمية.
• تنفيذ حلول EDR، مثل Kaspersky Endpoint Detection and Response، لاكتشاف التهديدات عند مستوى النقاط الطرفية والتحقيق في الحوادث ومعالجتها في الوقت المناسب.
• استخدام منتج أمني قوي يعمل عند النقاط الطرفية ويمكنه اكتشاف استخدام البرمجيات الثابتة، مثل Kaspersky Endpoint Security for Business.
• عدم تحديث البرمجيات الثابتة UEFI إلاّ من موردين محلّ ثقة.
• تمكين التشغيل التمهيدي الآمن للنظام بشكل افتراضي، ولا سيما BootGuard وTPMs عند الضرورة.