هجوم متطور
وتُعدّ «مون بونص»، الذي ظهر بعد لأول مرة في ربيع العام 2021، مثالًا على هجوم متطور ومتقدّم بالمقارنة مع مجموعات أدوات «بوت كيت» التي تستهدف واجهة UEFI والمُبلغ عنها سابقًا. وقد نسب خبراء كاسبرسكي الذين كشفوا الحملة بثقة عالية إلى عصابة التهديدات المتقدمة المستمرة المعروفةAPT41.
كما تُعدّ الواجهة الموحدة والموسّعة للبرمجيات الثابتة (UEFI) مكونًا مهمًا في الأغلبية العظمى من الأجهزة، وشيفرتها البرمجية مسؤولة عن تشغيل الجهاز وتمرير التحكّم إلى البرمجية المسؤولة عن تحميل نظام التشغيل.
وتقع هذه الشيفرة في جزء يُدعى «الذاكرة الفلاشية SPI»، وهي عبارة عن وحدة تخزين لذاكرة غير متطايرة تقع خارج القرص الصلب في الجهاز.
حلول عاجزة
وإذا احتوت البرمجية الثابتة على شيفرة خبيثة، فإنها سوف تُفعّل قبل أن يعمل نظام التشغيل، ما يصعّب التخلص من البرمجية الخبيثة المزروعة، حتى عند إعادة تهيئة القرص الصلب أو إعادة تثبيت نظام التشغيل.
وإضافة إلى ذلك، ونظرًا لوجود الشيفرة خارج القرص الصلب، فإن معظم حلول الأمن غير قادرة على اكتشاف نشاط مجموعة الأدوات التشغيلية هذه، ما لم تكن تلك الحلول مجهزة بميزة تفحّص هذا الجزء من الجهاز على وجه التحديد.
نشاط بعد الاختراق
واكتشف الباحثون أثناء التحقيق في «مون بونص» العديد من برمجيات التحميل الخبيثة والبرمجيات الخبيثة التي تنشط بعد الاختراق عبر عدّة عُقد في الشبكة نفسها، وتتضمن ScrambleCross أو Sidewalk، الغرسة التي تُزرع في الذاكرة ويمكنها الاتصال بخادم القيادة والسيطرة لتبادل المعلومات وتنفيذ مكونات إضافية، وMimikat_ssp، الأداة المتاحة للجمهور والمستخدمة لتفريغ بيانات اعتماد الدخول وأسرار الأمان، كما تشتمل على منفذ خلفي قائم على Golang لم يكن معروفًا سابقًا، وMicrocin، البرمجية الخبيثة المستخدمة عادةً من قبل عصابة SixLittleMonkeys.
ومن المحتمل أن تنزّل «مون بونص» هذه البرمجيات الخبيثة، أو أن إحدى هذه البرمجيات تسبّبت بإصابة سابقة ومهّدت الطريق أمام «مون بونص» للسيطرة على الجهاز والحصول على موطئ قدم في الشبكة.
إجراءات واسعة
وكان من الواضح في الحملة الشاملة التي شُنّت على الشبكة المعنية، أن المهاجمين نفذوا مجموعة واسعة من الإجراءات، كأرشفة الملفات وجمع معلومات الشبكة. وتشير الأوامر التي استخدمها المهاجمون خلال نشاطهم إلى اهتمامهم بالحركة العرَضية للبيانات واستخراجها، كما يُحتمل أن المهاجمين كانوا مهتمين بإجراء نشاط تجسس مستمر، نظرًا لاستخدامهم غرسة UEFI.
ونسبت كاسبرسكي «مون بونص» بثقة كبيرة إلى عصابة APT41 التخريبية الشهيرة، التي يُعتقد على نطاق واسع أنها إحدى جهات التهديد الناطقة بالصينية، والتي قامت بحملات تجسس إلكتروني وجرائم رقمية في جميع أنحاء العالم منذ العام 2012 على الأقلّ.
ويشير وجود بعض البرمجيات الخبيثة المذكورة في الشبكة نفسها إلى وجود اتصال محتمل بين APT41 وجهات تخريبية أخرى ناطقة باللغة الصينية.
تهديد مستتر
وأوضح مارك ليشتيك الباحث الأمني الأول في فريق البحث والتحليل العالمي بكاسبرسكي، أن أحدث «بوت كيت» المكتشف حديثًا يشتمل على التطورات ذاتها التي لوحظت في MosaicRegressor، الذي قدّمت كاسبرسكي تقريرًا عنه في العام 2020.
واعتبر أن تحويل مكوّن أساسي حميد في البرمجيات الثابتة إلى عنصر خبيث يمكنه تسهيل توظيف برمجيات خبيثة في الأنظمة المستهدفة، ابتكار لم يُشاهد في مجموعات «بوت كيت» المماثلة السابقة التي استخدمت في هجمات واقعية، من شأنه أن يجعل التهديد أكثر خِفية وقدرة على التستّر.
وأضاف: توقعنا في العام 2018 أن تحظى تهديدات UEFI بالرواج، ويبدو أن هذا التوجه بدأ يتحقق، ولن نفاجأ بالعثور على مزيد من هذه التهديدات في العام 2022. لكن منتجي الحلول الأمنية بدأوا يولون هذا النوع من الهجمات المزيد من الاهتمام، مع اعتماد المزيد من تقنيات أمن البرمجيات الثابتة، مثل «بوت جارد» ووحدات المنصات الموثوق بها.
تدابير حماية
وأوصت كاسبرسكي باتباع عدد من التدابير التالية للحماية من مجموعات «بوت كيت» تستهدف واجهات UEFI مثل «مون بونص»، تضمن تلك التدابير، تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث المعلومات الخاصة بالتهديدات، وتنفيذ حلول EDR، لاكتشاف التهديدات عند مستوى النقاط الطرفية والتحقيق في الحوادث ومعالجتها في الوقت المناسب، مؤكدة أهمية استخدام منتج أمني قوي يعمل عند النقاط الطرفية، ويمكنه اكتشاف استخدام البرمجيات الثابتة، وعدم تحديث البرمجيات الثابتة UEFI إلا من موردين محلّ ثقة.
