إسيت تكتشف أول هجوم إلكتروني على الإطلاق من UEFI rootkit  

UEFI rootkits – من فكرة إلى تهديد حقيقي

كانت الجذور الخفية لـ UEFI ، وهي شئ مقدس للمخترقين لها مخاوفها منذ فترة طويلة ، و لكن لم يُشاهد أي منها في الحياة الإلكترونية حتى إكتشفت إسيت حملة قامت بها مجموعة Sednit APT سيئة السمعة. تم تقديم بعض الجذور الخفية UEFI في المؤتمرات الأمنية كدليل على المفهوم ؛ و من المعروف أن بعضها يكون تحت تصرف الوكالات الحكومية. و مع ذلك ، حتى أغسطس ٢٠١٨ ، لم يتم الكشف عن أي مجموعة من الجذور الخفية UEFI في هجوم إلكتروني حقيقي.

إستخدمت حملة Sednit المذكورة أعلاه جذراً أساسياً لـ UEFI يطلق عليه الباحثون فى إسيت اسم LoJax. تم وصف تحليل إسيت للحملة بالتفصيل في LoJax: أول جذور خفية UEFI وجدت فى العالم الإلكتروني, من مجموعة Sednit ”. يمكن العثور على مزيد من المعلومات حول الحماية المرتبطة بـ UEFI على مدونة الحماية من إسيت, WeLiveSecurity.

المخاطر الأمنية من firmware, UEFI, rootkits

يتم تشغيل رمز الكمبيوتر الذي يبدأ مباشرة بعد تشغيل الجهاز و الذى يتمتع بالطاقة الكاملة على نظام تشغيل الكمبيوتر (و بالتالي الجهاز بأكمله) يسمي firmware. المعيار - فكر في أنه مجموعة من القواعد - لكيفية سلوك firmware يسمى UEFI (كان يسمى سابقاً BIOS). غالباً ما ترتبط برامج Firmware و UEFI ببعضها البعض و تسمى Firmware UEFI.

الجذور الخفيةهي برمجيات خبيثة خطيرة مصممة لإكتساب "غير قانوني" و مستمر للوصول إلى ما هو غير مسموح به. عادة ، تخفي هذه الخفية أيضاً وجودها أو وجود برامج ضارة أخرى.

المزيد

الجذور الخفية UEFI هى جذور خفية تختفي في البرامج الثابتة ، و هناك سببان لهذا النوع من الجذور الخفية التي تكون خطيرة للغاية. أولاً ، إن برامج الجذور UEFI قوية للغاية ، و قادرة على البقاء على قيد الحياة حتى بعد إعادة تشغيل الكمبيوتر ، و إعادة تثبيت نظام التشغيل ، و حتى إستبدال القرص الصلب. ثانياً ، يصعب إكتشافها نظراً لعدم فحص البرامج الثابتة عادةً من أجل تكامل الشفرة. حلول الحماية من إسيت تحتوي على طبقة حماية مخصصة إستثنائية , ESET UEFI Scanner.

تعتبر البرامج الضارة لـ UEFI كابوساً لأي شخص مهتم بأمن تكنولوجيا المعلومات و هى ضارة جداً و يصعب إكتشافها

جان إيان بوتان ، كبير باحث البرامج الضارة في إسيت

كيف تحميك إسيت من البرمجيات الخبيثة UEFI firmware

إسيت هى موفر أمن الإنترنت الرئيسي الوحيد بإضافة طبقة مخصصة ، ESET UEFI Scanner ، و هي مصممة لإكتشاف المكونات الضارة في firmware.

ESET UEFI Scanner هى أداة تعمل على إتاحة البرامج الثابتة للمسح الضوئي. بعد ذلك ، يتم فحص رمز البرنامج الثابت بواسطة تقنيات الكشف عن البرامج الضارة. يمكن لعملاء إسيت فحص برامجهم الثابتة بإنتظام أو عند الطلب. معظم هذه الإكتشافات توصف بأنها تطبيقات غير آمنة محتملة - رمز له قدرة واسعة على النظام و بالتالي يمكن إساءة إستخدامه. قد تكون البرمجية ذاتها مشروعة تماماً إذا كان المستخدم أو المسؤول على علم بوجودها ، أو قد يكون ضاراً إذا تم تثبيتها بدون معرفتهم و موافقتهم.

المزيد

و بطبيعة الحال منذ إكتشاف أول هجوم إلكتروني بإستخدام جذور UEFI فإن عملاء إسيت المجهزين بـ ESET UEFI Scanner يمكنهم أيضاً إكتشاف هذه التعديلات الخبيثة و بالتالي يصبحوا في وضع ممتاز لحماية أنفسهم.

أما بالنسبة للعلاج ، فهو بعيد عن متناول مستخدم نموذجي. من حيث المبدأ ، يساعد إعادة و ميض الشريحة مع البرامج الثابتة النظيفة دائماً. إذا لم يكن ذلك ممكناً فالخيار الوحيد المتبقي هو إستبدال اللوحة الأم للكمبيوتر.

أسئلة متكررة

إسيت هى مورد الحماية الوحيد الذي يحمي من هجمات UEFI rootkit cyber - صحيح؟

هل صحيح أن إسيت هى بائع الحلول الأمنية الوحيد الذي يمكن لعملائه فحص البرامج الثابتة UEFI الخاصة بهم بحثاً عن مكونات ضارة؟ إذا كان الأمر كذلك ، فما السبب وراء عدم وجود منافسين لإسيت في مثل هذه التكنولوجيا؟

إسيت هي المورد الوحيد من بين أفضل ٢٠ شركة متخصصة في حلول حماية نقاط النهاية من خلال الإيرادات ، مما يوفر لمستخدميها تقنية المسح الضوئي UEFI التي يتم تنفيذها في حلول الحماية النهائية. في حين أن بعض البائعين الآخرين قد يكون لديهم بعض التقنيات  "UEFI" في إلا أن غرضهم يختلف عن الوظيفة التي يجب أن يقوم بها برنامج فحص البرامج الثابتة الأصلي.

أما بالنسبة إلى السبب ، فإن إسيت هي الشركة الوحيدة في مجالها التي تؤمّن للعملاء  UEFI firmware, و هذا يوضح نهج إسيت المسؤول للحماية. نعم هجمات UEFI firmware ، كانت تقتصر في الغالب على العبث بالكمبيوتر المستهدف. و مع ذلك ، فإن مثل هذه الهجمات ، إذا نجحت ، ستؤدي إلى التحكم الكامل في الجهاز . لذا إتخذت إسيت قراراً بإستثمار مواردها في القدرة على حماية عملائها من هجمات UEFI التي تم تسهيل تشغيلها.

يظهر الإكتشاف الأخير لـ LoJax ، أول مجموعة جذرية لـ UEFI تم إكتشافها في هجوم حاسوبي حقيقي ، على أنه للأسف ، قد تصبح تهيدات UEFI rootkits جزءاً معتادًا من هجمات الكمبيوتر المتقدمة.

لحسن الحظ ، بفضل جهاز ESET UEFI Scanner ، أصبح عملاؤنا في وضع ممتاز لتحديد مثل هذه الهجمات و الدفاع عن أنفسهم ضدها.

لماذا من المهم فحص البرامج الثابتة للكمبيوتر؟

بإختصار ، يعد فحص البرنامج الثابت الطريقة الوحيدة لتحديد أى تعديلات أجريت عليه. من وجهة نظر الأمن ، فإن البرامج الثابتة التالفة خطرة للغاية لأنه من الصعب إكتشافها و قادرة على البقاء على قيد الحياة و الهروب من التدابير الأمنية مثل إعادة تثبيت نظام التشغيل ، و حتى إستبدال القرص الثابت.

قد يتم إختراق البرامج الثابتة في مرحلة تصنيع الكمبيوتر ، أو أثناء الشحن ، أو عن طريق إعادة تحميل البرامج الثابتة إذا تمكن المهاجمون من الوصول الفعلي إلى الجهاز ، و لكن أيضاً ، كما أظهرت الأبحاث الأخيرة لـ إسيت ، عبر هجوم ضار متطور.

كيف يعمل برنامج ESET UEFI Scanner؟

عادة لا يمكن وصول البرامج الثابتة لحلول الحماية للمسح الضوئي ، و نتيجة لذلك ، يتم تصميم حلول الحماية فقط لمسح محركات الأقراص و الذاكرة. للوصول إلى البرامج الثابتة ، هناك حاجة إلى أداة متخصصة - مثل الماسح الضوئي.

"UEFI scanner" هو وحدة نمطية في حلول الأمان لإسيت التي تتمثل وظيفتها الوحيدة في قراءة محتوى البرامج الثابتة UEFI و جعلها قابلة للفحص. و بالتالي ، يتيح ESET UEFI Scanner لمحرك الفحص المنتظم لـ إسيت التحقق من أمان بيئة التشغيل التمهيدية.

بإختصار ، تم تصميم حلول الأمان إسيت ، مع قدرات مدعومة بتقنية المسح الضوئي  ، للكشف عن المكونات المشبوهة أو الضارة في البرنامج الثابت و إبلاغ المستخدم عنها.

كيفية إصلاح firmware UEFI الخاص بك؟

بمجرد إكتشاف مكون مشبوه أو ضار في البرنامج الثابت ، يتم إبلاغ المستخدم حتى يتمكن من اتخاذ الخطوات الصحيحة.

في ظل أحد السيناريوهات ، انه لا يوجد شيء خطأ في عمليات الكشف - قد ينتمي المكون المشبوه ، على سبيل المثال ، إلى حل مضاد السرقة المصمم لتحقيق أقصى قدر ممكن من الثبات في النظام.

وفقاً لسيناريو آخر ، انه لا يوجد سبب لوجود مكون غير اساسي تم إكتشافه في البرنامج الثابت. فإن في مثل هذه الحالة ، يجب إتخاذ إجراءات العلاج.

للأسف ، لا توجد طرق سهلة لتنظيف النظام من مثل هذه التهديدات. فعادة ، ما يجب إعادة تحميل البرامج الثابتة لإزالة المكون الخبيث 
 UEFI ، أو تغيير اللوحة الأم للنظام المصاب.

كيف إكتشف الباحثون إسيت الحملة بإستخدام الجذور الخفية UEFI؟

تم وصف إكتشاف إسيت بشكل شامل كاملاً في blog post و white paper على مدونة إسيت للحماية, WeLiveSecurity.

بإختصار ، قام باحثو إسيت ، بقيادة جان إيان بوتين ، الباحث الأول في إسيت ، بعمل بحثي كبير ، يجمع بين معرفتهم المتعمقة لمجموعة Sednit APT ، و بيانات القياس عن بعد من أنظمة الكشف لإسيت و الإكتشاف السابقة من قبل أقرانهم في شبكة Arbor. و نتيجة لذلك ، إكتشفوا مجموعة كاملة جديدة من الأدوات للهجمات الإلكترونية ، بما في ذلك أول مجموعة جذرية من UEFI.

مجموعة Sednit APT - ما هى؟

و تعتبر Sednit ، التي تعمل منذ عام ٢٠٠٤ على الأقل ، و المعروفة أيضاً بإسم APT28 ، STRONTIUM ، Sofacy and Fancy Bear ، واحدة من أكثر المجموعات النشطة. و من المعروف أن هذه المجموعات تقوم بالتجسس الإلكتروني و غيرها من الهجمات الإلكترونية على الأهداف البارزة.

إختراق اللجنة الوطنية الديمقراطية التي أثرت على إنتخابات الولايات المتحدة عام ٢٠١٦ ، إختراق شبكة التلفزيون العالمية TV5Monde ، تسريب البريد الإلكتروني لوكالة مكافحة المنشطات العالمية ، و غيرها الكثير و يعتقد أنه من عمل Sednit.

تحتوي هذه المجموعة على مجموعة متنوعة من أدوات البرمجيات الخبيثة في ترسانتها ، و العديد من الأمثلة التي قام باحثو إسيت بتوثيقها في previous white paper و كذلك في العديد من التدوينات على WeLiveSecurity. أظهر إكتشاف الجذور الخفية لـ LoJax UEFI أن مجموعة Sednit APT هي أكثر تطوراً و خطورة مما كان يُعتقد سابقاً ، وفقاً لجان إيان بوتن ، كبير باحثى البرامج الضارة فى إسيت الذي قاد البحث في حملة Sednit الأخيرة.

بالنسبة إلى الإسناد ، لا تؤدي إسيت أي إسناد جغرافي - سياسي. تعتبر عملية الإسناد بطريقة جادة و علمية مهمة حساسة تتعدى نطاق اختصاص باحثي أمن إسيت. ما يطلق عليه باحثو إسيت "مجموعة Sednit" هو مجرد مجموعة من البرامج وا لبنية التحتية للشبكة ذات الصلة ، دون أي علاقة مع أي منظمة محددة.

ابق فى المقدمة مع إسيت

We Live Security blog

تمتلك مدونة الحماية من إسيت الحائزة على جوائز أحدث ما توصلت إليه هذه الإاكتشافات و غيرها

ESET Technology

حماية متعددة الطبقات تجمع بين التعلم الآلي ، الخبرة البشرية ، معلومات الإستخبارات العالمية