UEFI Rootkit cyber attack - first-ever discovered

UEFI rootkits – من فكرة إلى تهديد حقيقي

كانت الجذور الخفية لـ UEFI ، وهي شئ مقدس للمخترقين لها مخاوفها منذ فترة طويلة ، و لكن لم يُشاهد أي منها في الحياة الإلكترونية حتى إكتشفت إسيت حملة قامت بها مجموعة Sednit APT سيئة السمعة. تم تقديم بعض الجذور الخفية UEFI في المؤتمرات الأمنية كدليل على المفهوم ؛ و من المعروف أن بعضها يكون تحت تصرف الوكالات الحكومية. و مع ذلك ، حتى أغسطس ٢٠١٨ ، لم يتم الكشف عن أي مجموعة من الجذور الخفية UEFI في هجوم إلكتروني حقيقي.

إستخدمت حملة Sednit المذكورة أعلاه جذراً أساسياً لـ UEFI يطلق عليه الباحثون فى إسيت اسم LoJax. تم وصف تحليل إسيت للحملة بالتفصيل في “LoJax: أول جذور خفية UEFI وجدت فى العالم الإلكتروني, من مجموعة Sednit ”. يمكن العثور على مزيد من المعلومات حول الحماية المرتبطة بـ UEFI على مدونة الحماية من إسيت, WeLiveSecurity.

المخاطر الأمنية من firmware, UEFI, rootkits

يتم تشغيل رمز الكمبيوتر الذي يبدأ مباشرة بعد تشغيل الجهاز و الذى يتمتع بالطاقة الكاملة على نظام تشغيل الكمبيوتر (و بالتالي الجهاز بأكمله) يسمي firmware. المعيار - فكر في أنه مجموعة من القواعد - لكيفية سلوك firmware يسمى UEFI (كان يسمى سابقاً BIOS). غالباً ما ترتبط برامج Firmware و UEFI ببعضها البعض و تسمى Firmware UEFI.

الجذور الخفيةهي برمجيات خبيثة خطيرة مصممة لإكتساب "غير قانوني" و مستمر للوصول إلى ما هو غير مسموح به. عادة ، تخفي هذه الخفية أيضاً وجودها أو وجود برامج ضارة أخرى.

تعتبر البرامج الضارة لـ UEFI كابوساً لأي شخص مهتم بأمن تكنولوجيا المعلومات و هى ضارة جداً و يصعب إكتشافها

جان إيان بوتان ، كبير باحث البرامج الضارة في إسيت

كيف تحميك إسيت من البرمجيات الخبيثة UEFI firmware

إسيت هى موفر أمن الإنترنت الرئيسي الوحيد بإضافة طبقة مخصصة ، ESET UEFI Scanner ، و هي مصممة لإكتشاف المكونات الضارة في firmware.

ESET UEFI Scanner هى أداة تعمل على إتاحة البرامج الثابتة للمسح الضوئي. بعد ذلك ، يتم فحص رمز البرنامج الثابت بواسطة تقنيات الكشف عن البرامج الضارة. يمكن لعملاء إسيت فحص برامجهم الثابتة بإنتظام أو عند الطلب. معظم هذه الإكتشافات توصف بأنها تطبيقات غير آمنة محتملة - رمز له قدرة واسعة على النظام و بالتالي يمكن إساءة إستخدامه. قد تكون البرمجية ذاتها مشروعة تماماً إذا كان المستخدم أو المسؤول على علم بوجودها ، أو قد يكون ضاراً إذا تم تثبيتها بدون معرفتهم و موافقتهم.

أسئلة متكررة

هل صحيح أن إسيت هى بائع الحلول الأمنية الوحيد الذي يمكن لعملائه فحص البرامج الثابتة UEFI الخاصة بهم بحثاً عن مكونات ضارة؟ إذا كان الأمر كذلك ، فما السبب وراء عدم وجود منافسين لإسيت في مثل هذه التكنولوجيا؟

إسيت هي المورد الوحيد من بين أفضل ٢٠ شركة متخصصة في حلول حماية نقاط النهاية من خلال الإيرادات ، مما يوفر لمستخدميها تقنية المسح الضوئي UEFI التي يتم تنفيذها في حلول الحماية النهائية. في حين أن بعض البائعين الآخرين قد يكون لديهم بعض التقنيات "UEFI" في إلا أن غرضهم يختلف عن الوظيفة التي يجب أن يقوم بها برنامج فحص البرامج الثابتة الأصلي.

أما بالنسبة إلى السبب ، فإن إسيت هي الشركة الوحيدة في مجالها التي تؤمّن للعملاء UEFI firmware, و هذا يوضح نهج إسيت المسؤول للحماية. نعم هجمات UEFI firmware ، كانت تقتصر في الغالب على العبث بالكمبيوتر المستهدف. و مع ذلك ، فإن مثل هذه الهجمات ، إذا نجحت ، ستؤدي إلى التحكم الكامل في الجهاز . لذا إتخذت إسيت قراراً بإستثمار مواردها في القدرة على حماية عملائها من هجمات UEFI التي تم تسهيل تشغيلها.

يظهر الإكتشاف الأخير لـ LoJax ، أول مجموعة جذرية لـ UEFI تم إكتشافها في هجوم حاسوبي حقيقي ، على أنه للأسف ، قد تصبح تهيدات UEFI rootkits جزءاً معتادًا من هجمات الكمبيوتر المتقدمة.

لحسن الحظ ، بفضل جهاز ESET UEFI Scanner ، أصبح عملاؤنا في وضع ممتاز لتحديد مثل هذه الهجمات و الدفاع عن أنفسهم ضدها.

و تعتبر Sednit ، التي تعمل منذ عام ٢٠٠٤ على الأقل ، و المعروفة أيضاً بإسم APT28 ، STRONTIUM ، Sofacy and Fancy Bear ، واحدة من أكثر المجموعات النشطة. و من المعروف أن هذه المجموعات تقوم بالتجسس الإلكتروني و غيرها من الهجمات الإلكترونية على الأهداف البارزة.

إختراق اللجنة الوطنية الديمقراطية التي أثرت على إنتخابات الولايات المتحدة عام ٢٠١٦ ، إختراق شبكة التلفزيون العالمية TV5Monde ، تسريب البريد الإلكتروني لوكالة مكافحة المنشطات العالمية ، و غيرها الكثير و يعتقد أنه من عمل Sednit.

تحتوي هذه المجموعة على مجموعة متنوعة من أدوات البرمجيات الخبيثة في ترسانتها ، و العديد من الأمثلة التي قام باحثو إسيت بتوثيقها في previous white paper و كذلك في العديد من التدوينات على WeLiveSecurity. أظهر إكتشاف الجذور الخفية لـ LoJax UEFI أن مجموعة Sednit APT هي أكثر تطوراً و خطورة مما كان يُعتقد سابقاً ، وفقاً لجان إيان بوتن ، كبير باحثى البرامج الضارة فى إسيت الذي قاد البحث في حملة Sednit الأخيرة.

بالنسبة إلى الإسناد ، لا تؤدي إسيت أي إسناد جغرافي - سياسي. تعتبر عملية الإسناد بطريقة جادة و علمية مهمة حساسة تتعدى نطاق اختصاص باحثي أمن إسيت. ما يطلق عليه باحثو إسيت "مجموعة Sednit" هو مجرد مجموعة من البرامج وا لبنية التحتية للشبكة ذات الصلة ، دون أي علاقة مع أي منظمة محددة.