نظام الـ UEFI هو إختصار لـ Unified Extensible Firmware Interface وقد تم بناءه بالإعتماد على تقنية تم تطويرها من قبل شركة Intel ، وهو يعتبر النسخة المتطورة من البيوس ، حيث يمتلك قدرة أكبر على معالجة البيانات كما أنه يتميز بأنه أكثر أماناً من نظام البيوس ، ويتميز بتصميم مختلف ومميز وأكثر سهولة للمستخدم العادي ، لكن هذه التقنية المطورة لم تسلم هي الأخرى من هجمات المحتالين.
إكتشف باحثون في شركة الأمن السيبراني Kaspersky شكلاً جديداً من البرامج الضارة الموجودة في UEFI الخاص باللوحة الأم. البرامج الضارة هي أحد أشكال الجذور الخفية التي تظل موجودة حتى بعد مسح أو استبدال القرص الصلب المضيف أو SSD.
أطلق مهندسو Kaspersky عبر Bleeping Computer
يفتح في علامة تبويب جديدة أطلق عليها إسم CosmicStrand ، يُقال إنه تطور لبرنامج ضار سابق يسمى Spy Shadow Trojan والذي تم اكتشافه منذ عام 2016. وجد الباحثون البرنامج الضار CosmicStrand في البرامج الثابتة للوحات الأم Asus و Gigabyte.
قامت الأنظمة المصابة بتشغيل اللوحات الأم بناءً على مجموعة شرائح H81 ، والتي يعود تاريخها إلى سنوات عديدة. سيحتاج المهاجم أيضاً إلى الوصول إلى النظام أو يحتاج إلى تثبيت برنامج ضار مختلف لتحديث أو تصحيح البرنامج الثابت لحقن البرامج الضارة CosmicStrand.
لذلك إذا كنت تقرأ هذا ، فلا تعتقد أن أنظمة Asus أو Gigabyte كانت غير آمنة طوال هذه السنوات أو أن نظامك معرض للخطر. حتى يتم إجراء مزيد من البحث ، قد يكون بإمكان CosmicStrand الإستفادة من ثغرة H81 UEFI المحتملة فقط.
تقوم البرامج الضارة بإعداد سلسلة من الخطافات التي تسمح بالوصول إلى Windows kernel ، مما يؤدي في النهاية إلى إسترداد نظام التشغيل المصاب حمولة سيتم تنفيذها على جهاز الضحية. لم يتمكن مهندسو Kaspersky من إسترداد الحمولة نفسها ، لكنهم يعتقدون أن البرامج الضارة تشارك أنماط التعليمات البرمجية مع مجموعة صينية مسؤولة عن الروبوتات الخاصة بتعدين العملات المشفرة MyKings ، "وهذا هو ما يدور حوله هذا النوع من الأشياء عادة: يحاول المحتالون السرقة أو كسب المال".
تشبه واجهة UEFI أو واجهة البرامج الثابتة القابلة للتوسيع الموحدة تقريباً نظام تشغيل صغير ؛ إنها الواجهة بين الأجهزة والبرامج الخاصة بالنظام ، مما يعني أنها تؤثر على نظام التشغيل وجميع برامج النظام. عادةً ما يكون UEFI آمناً ويتطلب معرفة محددة بالكود. وبالتالي ، هناك عدد قليل جداً من تهديدات UEFI المعروفة.
يشير تقرير Kaspersky
إلى أن: الجذور الخفية المتعددة التي تم اكتشافها حتى الآن دليل على وجود نقطة عمياء في صناعتنا والتي يجب معالجتها عاجلاً وليس آجلاً.
