CosmicStrand: تتيح الجذور الخفية المتقدمة للبرامج الثابتة ثباتا طويل الأمد
جاكرتا - عثر باحثو كاسبرسكي على الجذور الخفية التي طورتها الجهات الفاعلة المتقدمة في مجال التهديد المستمر (APT) والتي لا تزال موجودة على جهاز الضحية. في الواقع ، إذا تم إعادة تشغيل نظام التشغيل أو إعادة تثبيت Windows ، فسيجعله خطيرا جدا على المدى الطويل.
يطلق على هذه البرامج الثابتة UEFI اسم "CosmicStrand" ، وتستخدم في المقام الأول لمهاجمة الأفراد الأفراد في الصين ، مع حالات نادرة في فيتنام وإيران وروسيا.
تعد البرامج الثابتة UEFI مكونا مهما في معظم الأجهزة. رمزه مسؤول عن تشغيل الجهاز ، وإطلاق مكونات البرامج التي تقوم بتحميل نظام التشغيل.
إذا تم تعديل البرنامج الثابت UEFI بطريقة أو بأخرى ليحتوي على تعليمات برمجية ضارة ، تشغيله قبل نظام التشغيل ، مما يجعل أنشطته غير مرئية لحلول الأمان والدفاع لنظام التشغيل.
هذا ، وحقيقة أن البرنامج الثابت موجود على شريحة منفصلة عن الأجهزة ، يجعل الهجمات على البرامج الثابتة UEFI معقدة للغاية ومستمرة لأنه بغض النظر عن عدد المرات التي يتم فيها إعادة تثبيت نظام التشغيل ، ستبقى البرامج الضارة على الجهاز.
ويرتبط CosmicStrand، وهو الاختراع الأخير للبرنامج الثابت UEFI من قبل باحثي كاسبرسكي، بممثل تهديد غير معروف سابقا باللغة الصينية.
وفي حين أن الهدف النهائي الذي يسعى إليه المهاجمون لا يزال مجهولا، يلاحظ أن الضحايا المتضررين هم مستخدمون فرديون وليسوا حواسيب تابعة لشركات أو منظمات.
تستند جميع الأجهزة التي تعرضت للهجوم إلى Windows: في كل مرة يتم فيها إعادة تشغيل الكمبيوتر ، سيتم تنفيذ رمز ضار صغير بعد بدء تشغيل Windows. الهدف هو الاتصال بخادم C2 (الأوامر والتحكم) وتنزيل ملفات تنفيذية ضارة إضافية.
لم يتمكن الباحثون من تحديد كيف انتهى المطاف بالجذور الخفية على جهاز مصاب ، لكن الحسابات غير المؤكدة التي تم العثور عليها عبر الإنترنت تظهر أن بعض المستخدمين تلقوا أجهزة مخترقة أثناء طلب مكونات الأجهزة عبر الإنترنت.
الجانب الأكثر لفتا للنظر في CosmicStrand هو أن غرسات UEFI يبدو أنها كانت قيد الاستخدام المجاني منذ أواخر عام 2016 ، قبل وقت طويل من بدء وصف هجمات UEFI علنا.
"على الرغم من أنه تم اكتشافه مؤخرا ، يبدو أن البرنامج الخففي للبرامج الثابتة CosmicStrand UEFI كان قيد الاستخدام لفترة طويلة. وهذا يشير إلى أن بعض الجهات الفاعلة المهددة لديها قدرات متطورة للغاية تمكنت من إبقائها تحت الرادار منذ عام 2017. وفي الوقت نفسه، نتساءل عن الأدوات الجديدة التي قاموا بإنشائها، وهذا ما لم نجده بعد." إيفان كوياتكوفسكي، باحث أمني أول في فريق البحث والتحليل العالمي (GReAT) في كاسبرسكي.
يتم تقديم تحليل أكثر تفصيلا لإطار CosmicStrand ومكوناته على Securelist.
للبقاء محميا من تهديدات مثل CosmicStrand، توصي Kaspersky بما يلي:
امنح فريق SOC (مركز العمليات الأمنية) إمكانية الوصول إلى أحدث معلومات استخبارات التهديدات (IT). تعد بوابة Kaspersky Threat Intelligence Portal نقطة وصول واحدة لتكنولوجيا المعلومات، حيث توفر بيانات ورؤى الهجمات الإلكترونية التي جمعتها Kaspersky لأكثر من 20 عاما.انشر حل EDR للكشف السريع على مستوى نقطة النهاية والتحقيق فيها واسترداد الحوادث، مثل اكتشاف نقطة النهاية من Kaspersky والاستجابة لها.زود موظفيك بالتدريب الأساسي على النظافة الصحية للأمن السيبراني حيث تبدأ العديد من الهجمات المستهدفة بالتصيد الاحتيالي أو تقنيات الهندسة الاجتماعية الأخرى.ويستخدم منتج أمان قوي لنقاط النهاية يمكنه اكتشاف استخدام البرامج الثابتة، مثل Kaspersky Endpoint Security for Business.قم بتحديث البرنامج الثابت UEFI بانتظام واستخدم البرامج الثابتة فقط من الموردين الموثوق بهم.