يكشف الهجوم شديد الاستهداف عن مستوى جديد من التطور في الهجمات ضد البرامج الثابتة لـ UEFI.
كشف باحثو الأمن النقاب عن MoonBounce ، وهو عبارة عن غرسة مخصصة للبرامج الثابتة UEFI تُستخدم في الهجمات المستهدفة.
يُعتقد أن الغرسة من عمل APT41 ، وهي مجموعة قرصنة متطورة تتحدث اللغة الصينية تُعرف أيضًا باسم Winnti أو Double Dragon.
في 20 يناير ، قال باحثو كاسبرسكي إنه في نهاية العام الماضي ، كشف الفريق عن حالة اختراق للواجهة الموحدة للبرامج الثابتة الموسعة (UEFI) بسبب تعديل مكون واحد في البرنامج الثابت - وهو عنصر أساسي يسمى فلاش SPI ، الموجود على اللوحة الأم.
وأشار الفريق إلى أنه "نظرًا لوضعه على فلاش SPI الموجود على اللوحة الأم بدلاً من القرص الصلب ، فإن الغرسة قادرة على الاستمرار في النظام عبر تنسيق القرص أو الاستبدال".
لم ينتج عن تعديل البرنامج الثابت استمرارًا عند مستوى يصعب إزالته فحسب ، بل قال الفريق إن صورة البرنامج الثابت "تم تعديلها بواسطة المهاجمين بطريقة تسمح لهم باعتراض تدفق التنفيذ الأصلي لتسلسل تمهيد الجهاز" وإدخال سلسلة عدوى متطورة ".
يقال إن مطور برنامج MoonBounce UEFI rootkit لديه فهم عميق وشامل لكيفية عمل أنظمة UEFI.
وأوضح الباحثون أن "مصدر الإصابة يبدأ بمجموعة من الخطافات التي تعترض تنفيذ العديد من الوظائف في جدول خدمات التمهيد EFI ، وهي AllocatePool و CreateEventEx و ExitBootServices". "تُستخدم هذه الخطافات لتحويل تدفق هذه الوظائف إلى كود قشرة ضار يلحقه المهاجمون بصورة CORE_DXE ، والتي بدورها تُنشئ خطافات إضافية في المكونات اللاحقة لسلسلة التمهيد ، وهي مُحمل Windows."
"تسهل هذه السلسلة متعددة المراحل من الخطافات انتشار التعليمات البرمجية الضارة من صورة CORE_DXE إلى مكونات التمهيد الأخرى أثناء بدء تشغيل النظام ، مما يسمح بإدخال برنامج تشغيل ضار إلى مساحة عنوان ذاكرة Windows kernel."
يقول Kaspersky إن هذا التصحيح الفردي حوّل برنامج UEFI الثابت "إلى تخزين متخفي ومستمر للغاية للبرامج الضارة في النظام" - وهو واحد كان من الصعب اكتشافه حيث لم تكن هناك حاجة لإضافة برامج تشغيل جديدة أو إجراء المزيد من التغييرات.
بالإضافة إلى ذلك ، تعمل سلسلة العدوى في الذاكرة فقط ، وبالتالي لا توجد آثار على القرص الصلب للهجوم بدون ملفات.
لم يتمكن Kaspersky من الحصول على عينة من الحمولة حتى الآن ، ولم يكتشف الفريق كيفية حدوث العدوى الأولية - على الرغم من الافتراض بأن العدوى قد تحققت عن بُعد.
ومع ذلك ، تم العثور على غرسات غير تابعة لـ UEFI على الشبكة المستهدفة ، بما في ذلك البرامج الضارة ScrambleCross / SideWalk ، والتي تتصل بنفس البنية التحتية التي استخدمها المهاجمون. كان من خلال تحليل هذا النشاط أن الإسناد المحتمل كان ممكنًا.
على حد علم Kaspersky ، فإن APT41 هي مجموعة التهديد المستمر المتقدم (APT) التي تقف وراء الاقتحام. APT الناطقة بالصينية هي جماعة ترعاها الدولة ويُعتقد أنها مسؤولة عن هجمات واسعة النطاق ضد قطاع تكنولوجيا المعلومات وشركات التواصل الاجتماعي والاتصالات والمؤسسات غير الربحية والرعاية الصحية.
فيما يتعلق بالمنظمة الضحية في هذه الحالة ، ذكرت كاسبيرسكي هدفًا "يتوافق مع منظمة تتحكم في العديد من المؤسسات التي تتعامل مع تكنولوجيا النقل".
في سبتمبر 2020 ، وجهت وزارة العدل الأمريكية (DoJ) اتهامات ضد خمسة أعضاء مشتبه بهم في APT41.
يقول كاسبيرسكي: "يمكننا الآن أن نقول إن تهديدات UEFI أصبحت تدريجيًا هي القاعدة". "مع وضع ذلك في الاعتبار ، يتخذ البائعون المزيد من الاحتياطات للتخفيف من الهجمات مثل MoonBounce ، على سبيل المثال من خلال تمكين Secure Boot افتراضيًا. ونقدر أنه في سباق التسلح المستمر هذا ، ستستمر الهجمات ضد UEFI في الانتشار ، مع تطور المهاجمين وإيجاد طرق لاستغلال وتجاوز الإجراءات الأمنية الحالية ".
