لقد كشف باحثونا مؤخرًا النقاب عن هجمة معقدة وموجهة تستهدف المؤسسات الدبلوماسية والمنظمات غير الربحية في آسيا وأوروبا وأفريقيا. وحسبما تبين لنا، فإن جميع الضحايا كانوا على صلة بكوريا الشمالية بطريقة أو بأخرى، سواء من خلال نشاط غير ربحي أو علاقات دبلوماسية.
فقد استخدم المهاجمون إطارًا معقدًا متعدد الوحدات للتجسس الإلكتروني، أطلق عليه باحثونا اسم MosaicRegressor. وقد كشفت تحقيقاتنا أن البرامج الضارة قد تمكنت في بعض الحالات من التسلل إلى أجهزة كمبيوتر الضحايا عن طريق واجهات UEFI المعدلة، وهو أمر نادر الحدوث في الأحوال الطبيعية. ولكن، في معظم الحالات، استخدم المهاجمون التصيد الاحتيالي الموجّه، وهي طريقة أكثر تقليدية.
ما المقصود بواجهة UEFI، ولماذا يعد bootkit خطرًا؟
UEFI، مثل BIOS (الذي تحل محله)، عبارة عن برنامج يعمل مباشرة عند بدء تشغيل الكمبيوتر، حتى قبل بدء تشغيل نظام التشغيل. علاوة على ذلك، لا يتم تخزينه هذا البرنامج على القرص الثابت، وإنما على رقاقة على اللوحة الأم. فإذا ما قام مجرمو الإنترنت بتعديل تعليمات UEFI البرمجية، فسيكون بمقدورهم استخدامه في إقحام برامج ضارة في نظام الضحية.
هذا بالضبط ما وجدناه في الحملة المذكورة أعلاه. إلى جانب ذلك، ففي إنشاء البرنامج الثابت لواجهة UEFI المعدلة، استخدم المهاجمون التعليمة البرمجية المصدر VectorEDK، وهي تخص فيروس bootkit الذي طورته شركة هاكنج تيم وتم تسريبه على الإنترنت. وعلى الرغم من أن التعليمات البرمجية المصدر صارت متاحة للجمهور في عام 2015، فإن هذا هو أول دليل نراه على استخدامها من قبل مجرمي الإنترنت.
عند بدء تشغيل النظام، يضع bootkit الملف الضار IntelUpdate.exe في مجلد بدء تشغيل النظام. يقوم الملف التنفيذي بتنزيل مكونات MosaicRegressor أخرى وتثبيتها على الكمبيوتر. ونظرًا للعزلة النسبية لواجهة UEFI، فحتى إذا تم اكتشاف هذا الملف الضار، يكاد يكون من المستحيل إزالته. ولا يفيد في ذلك حذفه ولا حتى إعادة تثبيت نظام التشغيل. والطريقة الوحيدة لإصلاح المشكلة هي إعادة تحميل البرامج في رقائق اللوحة الأم.
ما مدى خطورة MosaicRegressor؟
مكونات MosaicRegressor التي تمكن بواسطتها من التسلل إلى أجهزة كمبيوتر الضحايا (إما من خلال واجهة UEFI مخترقة أو تصيد احتيالي موجه) متصلة بخوادم القيادة والتحكم (C&C) الخاصة به، حيث تم تنزيل وحدات إضافية وتشغيلها. بعد ذلك، تم استخدام هذه الوحدات لسرقة المعلومات. على سبيل المثال، أرسل أحدهم مستندات تم فتحها مؤخرًا إلى مجرمي الإنترنت.
تم استخدام آليات مختلفة للتواصل مع خوادم القيادة والتحكم: مكتبة cURL (لـبروتوكولات HTTP/HTTPS) وواجهة خدمة النقل الذكي في الخلفية (BITS) وواجهة برمجة WinHTTP وخدمات البريد العامة التي تستخدم بروتوكول POP3S أو SMTPS أو IMAPS.
يوفر منشور Securelist هذا تحليلاً فنيًا أكثر تفصيلاً لإطار عمل MosaicRegressor الضار، إلى جانب المؤشرات الدالة على حدوث اختراق.
كيفية الحماية من MosaicRegressor
للحماية من Mosaic Regressor، فإن التهديد الأول الذي يلزم القضاء عليه هو التصيد الاحتيالي الموجّه، وهي الطريقة التي تبدأ بها معظم الهجمات المعقدة. لأقصى حماية لأجهزة الكمبيوتر الخاصة بالموظفين، نوصي باستخدام مجموعة من منتجات الأمان المزودة بتقنيات مكافحة التصيد الاحتيالي المتقدمة و التوعية لزيادة وعي الموظفين بشأن الهجمات من هذا النوع.
ترصد حلول الأمان الخاصة بنا الوحدات الضارة المكلفة بمهمة سرقة البيانات.
بالنسبة إلى البرامج الثابتة المخترقة، فلسوء الحظ لا نعرف كيفية وصل bootkit إلى أجهزة كمبيوتر الضحايا على وجه التحديد. واستنادًا إلى بيانات من تسريبات هاكنج تيم، من المفترض أن المهاجمين بحاجة إلى الوصول الفعلي إلى الأجهزة واستخدام محرك أقراص USB لإصابتها بالبرنامج الضار. ومع ذلك، لا يمكن استبعاد الطرق الأخرى لاختراق UEFI.
للحماية من فيروس MosaicRegressor UEFI bootkit:
• راجع موقع الويب الخاص بالشركة المصنعة للكمبيوتر أو اللوحة الأم لمعرفة ما إذا كانت أجهزتك تدعم Intel Boot Guard، والذي يحول دون التعديل غير المصرح به لبرنامج UEFI الثابت.
• استخدم تشفير القرص الكامل لمنع bootkit من تثبيت حمولته.
• استخدم حلول أمان موثوقة يمكنها البحث عن التهديدات المماثلة وتحديدها. منذ عام 2019، تمكنت منتجاتنا من البحث عن التهديدات المخفية في البرامج الثابتة لوحدات ROM BIOS وواجهة UEFI. في الواقع، كانت تقنية فحص البرامج الثابتة المتخصصة لدينا هي ما رصدت هذه الهجمة منذ البداية.