اكتشفت شركة الأمن ESET أول مجموعة أدوات الجذر UEFI التي تم استخدامها في عام 2018. كان هذا النوع من التهديد المستمر موضوع مناقشات نظرية بين الباحثين الأمنيين ، ولكن على مدار السنوات الماضية ، أصبح من الواضح أنه أكثر من ذلك بكثير أكثر مما كان يعتقد سابقًا ، على الرغم من صعوبة تطويرها نسبيًا.
هذا الأسبوع ، كشف باحثو كاسبرسكي عن مجموعة جذرية جديدة للبرامج الثابتة أطلق عليها اسم “CosmicStrand” ، والتي يعتقد أنها من عمل مجموعة غير معروفة من المخترقين الصينيين.
يوضح الباحثون أنه تم اكتشاف rootkit في صور البرامج الثابتة للعديد من اللوحات الأم Asus و Gigabyte المجهزة بمجموعة شرائح Intel H81 ، وهي واحدة من أطول شرائح عصر Haswell التي تم إيقافها أخيرًا في عام 2020.
نظرًا لأن برنامج UEFI الثابت هو أول جزء من التعليمات البرمجية يتم تشغيله عند تشغيل الكمبيوتر ، فإن هذا يجعل من الصعب إزالة CosmicStrand بشكل خاص مقارنة بالأنواع الأخرى من البرامج الضارة. من الصعب أيضًا اكتشاف الجذور الخفية للبرامج الثابتة وتمهيد الطريق للمتسللين لتثبيت برامج ضارة إضافية على نظام مستهدف.
لن يؤدي مجرد مسح مساحة التخزين في جهاز الكمبيوتر إلى إزالة العدوى ، وحتى استبدال أجهزة التخزين تمامًا. UEFI هو في الأساس نظام تشغيل صغير يعيش داخل شريحة ذاكرة غير قابلة للكتابة، وعادة ما تكون ملحومة على اللوحة الأم. هذا يعني أن إزالة CosmicStrand يتطلب أدوات خاصة لإعادة تصوير شريحة الفلاش أثناء إيقاف تشغيل الكمبيوتر. أي شيء آخر من شأنه أن يترك جهاز الكمبيوتر الخاص بك في حالة إصابة.
حتى الآن ، يبدو أنه تم اختراق أنظمة Windows فقط في دول مثل روسيا والصين وإيران وفيتنام. ومع ذلك ، فقد تم استخدامها منذ أواخر عام 2016 ، مما يثير احتمال أن يكون هذا النوع من العدوى أكثر شيوعًا مما كان يُفترض سابقًا.
يشعر باحثو Kaspersky بالقلق من أن يكون CosmicStrand واحدًا من العديد من مجموعات أدوات الجذر للبرامج الثابتة التي تمكنت من البقاء مخفية لسنوات. وأشاروا إلى أن “الجذور الخفية المتعددة التي تم اكتشافها حتى الآن دليل على وجود نقطة عمياء في الصناعة يجب معالجتها عاجلاً وليس آجلاً”.