اكتشف باحثو كاسبرسكي نوعًا جديدًا قويًا من الجذور الخفية / rootkit للواجهة الموحدة للبرامج الثابتة الموسعة (UEFI)، والمعروفة باسم CosmicStrand.
اكتشف فريق بحث التهديدات الأمنية لشركة كاسبرسكي، صانع مكافحة الفيروسات، برنامج rootkit آخر، وهو برنامج مضمن في جهاز كمبيوتر يمكن أن يمنح المهاجمين مسؤولاً للوصول، يسمى “CosmicStrand”. لن يكون هذا الأخير جديدًا، لأنه تطور لبرنامج ضار سابق يسمى Spy Shadow Trojan والذي تم اكتشافه في وقت مبكر من عام 2016. وجد الباحثون البرامج الضارة CosmicStrand في البرامج الثابتة للوحات الأم Asus و Gigabyte.
جميع اللوحات الأم المصابة التي فحصها كاسبرسكي تعمل على مجموعة شرائح إنتل H81، مما يشير إلى “وجود ثغرة أمنية مشتركة سمحت للمهاجمين بحقن ملفات rootkit الخاصة بهم في صورة البرنامج الثابت”. للتذكير، أوقفت إنتيل مجموعة الشرائح في عام 2020 بعد تقديمها في منتصف عام 2013.
البرمجيات الخبيثة عنيدة، يمكنها أن تنجو من تنسيق القرص
يوضح كاسبرسكي أن ComicStrand يسلم غرسة على مستوى kernel إلى نظام مايكروسوفت ويندوز في كل مرة يقوم فيها الكمبيوتر بالتمهيد لأن المتسللين غيّروا الواجهة بين ويندوز والبرامج الثابتة للتمهيد، وهي واجهة تُعرف باسم واجهة البرنامج الثابت. استبدلت UEFI واجهة البرنامج الثابت BIOS (نظام الإدخال / الإخراج الأساسي) الأقدم.
هذا موجود في شريحة ذاكرة فلاش، ملحومة باللوحة الأم للكمبيوتر. إنه أول برنامج يتم تشغيله عند بدء تشغيل النظام، مما يسمح له بالوصول إلى جميع مكونات الأجهزة والتحكم فيها، بالإضافة إلى الأجزاء المختلفة من نظام تشغيل الجهاز. نظرًا لوجود UEFI داخل شريحة ذاكرة، يمكن للبرامج الضارة التي تم حقنها بها أن تنجو من عمليات إعادة التمهيد وإعادة التهيئة وإعادة تثبيت نظام التشغيل، مما يسمح للجهات الفاعلة في التهديد بالحفاظ على وجودها على الأجهزة المخترقة.
يبدو أن ضحايا البرنامج الضار هم من الصين وفيتنام وإيران وروسيا. وفقًا لـ كاسبرسكي، يتم استخدام CosmicStrand بواسطة ممثل تهديد مجهول يتحدث اللغة الصينية. تشترك في خصائص التعليمات البرمجية مع البرامج الضارة المعروفة باسم MyKings المستخدمة لإصابة الخوادم ببرنامج تعدين العملات المشفرة.