بيبرايت / جيتي إيماجيس
أصبح إخفاء البرامج الضارة في برنامج UEFI الثابت للكمبيوتر ، وهو الكود العميق الذي يخبر الكمبيوتر كيفية تحميل نظام التشغيل الخاص به ، خدعة خبيثة في مجموعة أدوات المتسللين المتخفين. ولكن عندما تقوم إحدى الشركات المصنعة للوحة الأم بتثبيت بابها الخلفي المخفي في البرامج الثابتة لملايين أجهزة الكمبيوتر – ولا تضع قفلًا مناسبًا على هذا المدخل الخلفي المخفي – فإنها تقوم عمليًا بعمل المتسللين نيابة عنهم.
كشف باحثون في شركة Eclypsium للأمن السيبراني التي تركز على البرامج الثابتة اليوم أنهم اكتشفوا آلية خفية في البرامج الثابتة للوحات الأم التي تبيعها الشركة المصنعة التايوانية Gigabyte ، والتي تُستخدم مكوناتها بشكل شائع في أجهزة الكمبيوتر المخصصة للألعاب وغيرها من أجهزة الكمبيوتر عالية الأداء. عندما يتم إعادة تشغيل جهاز كمبيوتر مع اللوحة الأم Gigabyte المتأثرة ، وجد Eclypsium أن الكود الموجود داخل البرنامج الثابت للوحة الأم يبدأ بشكل غير مرئي برنامج تحديث يعمل على الكمبيوتر ويقوم بدوره بتنزيل برنامج آخر وتنفيذه.
بينما يقول Eclypsium أن الشفرة المخفية تهدف إلى أن تكون أداة غير ضارة للحفاظ على تحديث البرامج الثابتة للوحة الأم ، وجد الباحثون أنه تم تنفيذها بشكل غير آمن ، مما قد يسمح باختطاف الآلية واستخدامها لتثبيت البرامج الضارة بدلاً من برنامج Gigabyte المقصود. ونظرًا لأن برنامج التحديث يتم تشغيله من البرامج الثابتة للكمبيوتر ، خارج نظام التشغيل الخاص به ، فمن الصعب على المستخدمين إزالته أو حتى اكتشافه.
يقول جون لوكايدس ، الذي يقود الإستراتيجية والبحث في Eclypsium. “مفهوم الخضوع للمستخدم النهائي والاستيلاء على أجهزته لا يتوافق جيدًا مع معظم الأشخاص.”
في مدونتها حول البحث ، يسرد Eclypsium 271 نموذجًا للوحات Gigabyte التي يقول الباحثون إنها متأثرة. يضيف Loucaides أن المستخدمين الذين يرغبون في معرفة اللوحة الأم التي يستخدمها الكمبيوتر يمكنهم التحقق من خلال الانتقال إلى “ابدأ” في Windows ثم “معلومات النظام”.
