قراصنة صينيون ينشرون برامج ضارة في صور البرامج الثابتة لبعض اللوحات الأم

 CosmicStrand عبارة عن مجموعة أدوات جذرية جديدة ومتطورة لبرامج UEFI الثابتة التي تُنسب إلى متسلل مجهول يتحدث اللغة الصينية.

في دراسة أجرتها شركة Kaspersky Lab ، توصل الباحثون إلى اسم CosmicStrand لهذا الهجوم. 

في وقت سابق ، اكتشف محللو البرامج الضارة في Qihoo360 نوعًا مختلفًا من التهديد المعروف باسم Spy Shadow Trojan والذي كان مشابهًا للتهديد الأحدث.

في حالة الأجهزة المستهدفة ، ليس من الواضح كيف قام المتسلل بإصابة صور البرامج الثابتة بجذر الجذر للبرنامج الثابت UEFI.

ومع ذلك ، فقد تم اكتشاف البرامج الضارة على أجهزة الكمبيوتر التي تحتوي على اللوحات الأم من العلامات التجارية التالية: -

• ASUS 
• جيجابايت

• الجذور الخفية UEFI

  UEFI هو برنامج يتم تثبيته كجزء من نظام التشغيل على جهاز كمبيوتر يعمل كجسر بين نظام التشغيل والبرامج الثابتة في البرامج الثابتة للأجهزة التي تُشغل نظام التشغيل.

  قبل أن يتم تحميل أي نظام تشغيل أو برنامج أمان على جهاز كمبيوتر ، يجب تشغيل رمز UEFI أولاً من أجل تمهيد هذا الكمبيوتر.

  بالإضافة إلى صعوبة اكتشاف البرامج الضارة المدرجة في صورة البرنامج الثابت UEFI ، فإنه يتمتع أيضًا بقدرة تحمل ملحوظة. قد يكون من الممكن إزالته من جهاز الكمبيوتر الخاص بك ، ولكن في هذه الحالة ، ستحتاج إما إلى إعادة تثبيت نظام التشغيل أو استبدال محرك أقراص التخزين لأنه لا يمكن القيام بذلك بشكل عام.

  لإنجاز المهمة ، يجب إعداد الخطافات في أداة تحميل نظام التشغيل لتعديلها. بعد ذلك ، سيتم التحكم في تدفق التنفيذ بالكامل بواسطة الخطافات.

  

  وفقًا للتقرير ، من أجل إطلاق كود القشرة ، يجب تحميله من خادم القيادة والتحكم الذي سيتم تنزيل الحمولة منه.

• تم تضمين برنامج تشغيل CSMCORE DXE معدل في صور البرامج الثابتة المخترقة ، مما أتاح استخدام عمليات التمهيد القديمة.

  بعد MoonBounce ، السلالة الثانية من rootkit UEFI هي CosmicStrand ، وهو ملف بحجم 96.84 كيلوبايت فقط ، تم اكتشافه هذا العام.

  الأهداف

  تم اكتشاف إصابة ببرامج ضارة على كمبيوتر الضحية بواسطة برنامج مكافحة فيروسات في الصين بعد أن أبلغ الضحية أن جهاز الكمبيوتر الخاص به قد أنشأ حسابًا جديدًا دون علمه.

  تم العثور على عدد من الأنظمة التي تم تحديدها على أنها مصابة ولم يتم ربطها بأي منظمات أو صناعات تنتمي إلى أفراد عاديين في البلدان التالية: -

  • الصين
  • إيران
  • فيتنام
  • روسيا

  

  منذ نهاية عام 2016 ، تم استخدام rootkit للبرامج الثابتة CosmicStrand UEFI في العمليات لسنوات ، مع قدرة rootkit على الاستمرار على الكمبيوتر لبقية حياته.