الباحثون في إسيت يكتشفون LoJax، أول هجوم سيبراني UEFI rootkitيتم الكشف عنه
اكتشف باحثون في إسيت هجومًا إلكترونيًا إستخدم ” UEFI rootkit” لتأسيس وجود على أجهزة الكمبيوتر الخاصة بالضحايا. والهجوم الـ rootkit الذي أطلق عليه إسم LoJax بواسطة إسيت، هو جزءًا من حملة تديرها مجموعة سيئة السمعة من المهاجمين السيبرانية تسمى Sednit، ضد العديد من الأهداف البارزة في وسط وشرق أوروبا. وهو أول هجوم من نوعه تم التعرف عليه على الإطلاق.
و أبان “جان إيان بوتن” الباحث في مجال الأمن السيبراني في شركة إسيت، و الذي قاد عملية البحث في حملة LoJax و Sednit، وقال: “على الرغم من أننا كنا ندرك نظريًا وجودUEFI rootkit، إلا أن اكتشافنا يؤكد أنها مستخدمة من قبل مجموعة نشطة من ” التهديد المستمر المتقدم”( APT group). إن الأمر لم يعد مجرد موضوع جذاب للحديث في المؤتمرات، إنه تهديدًا حقيقيًا “.
وتعد “UEFI rootkit” أدوات هائلة بالغة الخطورة لإطلاق الهجمات السيبرانية. وهي بمثابة مفتاح للكمبيوتر بأكمله، ويصعب اكتشافها وقادرة على البقاء نشطة وسط الإجراءات الأمن سيبرانية مثل إعادة تثبيت نظام التشغيل أو حتى استبدال القرص الصلب. إن عملية التنظيف للنظام المصاب ب”UEFI rootkit” تتطلب معرفة تتعدى المستخدم العادي، مثل القيام بفلاش البرنامج الثابت.
و “Sednit” والمعروف أيضًا باسم APT28 ، STRONTIUM ، Sofacy أو Fancy Bear، هي واحدة من أكثر “مجموعات التهديد المستمر المتقدم” نشاطًا و التي تعمل منذ العام 2004 تقريبًا. ويُزعم إختراقها للجنة الديمقراطية الوطنية و التي أثرت على الانتخابات الأمريكية في عام 2016. والمهاجمة لشبكة التلفزيون العالمية TV5Monde، وأيضًا المسببة لتسرب البريد الإلكتروني للوكالة العالمية لمكافحة المنشطات ، وغيرها الكثير من أعمال القرصنة التي قامت بها Sednit.
وتمتلك هذه المجموعة في ترسانتها مجموعة متنوعة من أدوات البرمجيات الخبيثة، و هناك العديد من الأمثلة التي قام باحثو إسيت بتوثيقها في أبحاثهم وأيضًا في العديد من المدونات على WeLiveSecurity.
إن اكتشاف أول تهديد UEFI rootkit هو بمثابة دعوة للاستيقاظ للمستخدمين ومنظماتهم الذين غالباً ما يتجاهلون المخاطر المرتبطة بتعديلات البرامج الثابتة.
و علق “جان إيان بوتن” : ” ليس هناك أي عذر الآن لإبعاد البرامج الثابتة من المسح المنتظم. نعم، إن الهجمات الميسرة UEFI نادرة للغاية، وحتى الآن كان معظمها يقتصر على التلاعب المادي مع جهاز الكمبيوتر المستهدف. ومع ذلك ، فإن مثل هذا الهجوم إذا نجح سيؤدي إلى السيطرة الكاملة على جهاز كمبيوتر “.
إسيت هي المزود الرئيسي الوحيد لحلول نقاط النهاية الأمنية لإضافة طبقة حماية مخصصة، إن ESET UEFI Scanner مصمم لاكتشاف المكونات الضارة في البرامج الثابتة للكمبيوتر الشخصي.
وفي ختام التصريحات قال “يوراج مالكو” المدير التنفيذي التقني لدي شركة إسيت : “بفضل حل ESET UEFI Scanner تمتع العملاء من المستهلكين وأصحاب الأعمال بوضع جيد يسمح لهم برصد مثل هذه الهجمات والدفاع عن أنفسهم ضدها”.
إن تحليل إسيت لحملة Sednit التي تستخدم UEFI rootkit لأول مرة تم شرحها بالتفاصيل في تقرير : ” LoJax: First UEFI rootkit found in the wild, courtesy of the Sednit group” -82551922930
