في عام 2012، تم عرض شكل جديد من أدوات التشغيل. بدلاً من استهداف الأجهزة من خلال BIOS أو سجل التمهيد الرئيسي، هاجم أحد أدوات التمهيد هذه أنظمة Mac OS X عن طريق إصابة EFI، وهي حزمة من البرامج الثابتة التي بدأت عملية التمهيد. استهدفت مجموعة تمهيد بدائية ثانية الأجهزة التي تعمل بنظام التشغيل Windows 8 عن طريق إصابة مجموعة تمهيد UEFI، وهي المجموعة السابقة لـ UEFI. في عام 2013 تقريبًا، أظهر أحد الباحثين مجموعة تمهيد أكثر تقدمًا لـ UEFI لنظام التشغيل Windows تسمى Dreamboat.
جاءت أول حالة معروفة لهجوم حقيقي يستهدف UEFI في عام 2018 مع اكتشاف برنامج ضار يطلق عليه اسم LoJax. نسخة معاد استخدامها من برنامج مكافحة السرقة الشرعي المعروف باسم LoJack، تم إنشاؤه من قبل مجموعة القرصنة المدعومة من الكرملين والتي يتم تتبعها تحت أسماء بما في ذلك Sednit وFancy Bear وAPT 28. تم تثبيت البرنامج الضار عن بعد باستخدام أدوات البرامج الضارة التي يمكنها قراءة أجزاء من ذاكرة فلاش البرنامج الثابت UEFI والكتابة فوقها.
في عام 2020، اكتشف الباحثون المثال الثاني المعروف للبرامج الضارة في العالم الحقيقي التي تهاجم UEFI. في كل مرة يتم فيها إعادة تشغيل جهاز مصاب، يتحقق نظام UEFI الخاص به من وجود ملف ضار في مجلد بدء تشغيل Windows، وإذا لم يكن كذلك، يتم تثبيته. أطلق باحثون من شركة Kaspersky، مزود الأمان الذي اكتشف البرنامج الضار، اسم “MosaicRegressor”. لم يحدد الباحثون بعد كيفية إصابة واجهات UEFI المخترقة. ومنذ ذلك الحين، ظهرت إلى النور مجموعة من مجموعات تمهيد UEFI الجديدة. ويتم تعقبهم تحت أسماء تشمل ESpecter وFinSpy وMoonBounce.
الحاجة أم الاختراع
استجابةً للتهديد الأكثر خطورة المتمثل في مجموعات تمهيد UEFI، عملت Microsoft مع صانعي الأجهزة لتطوير Secure Boot، وهو معيار على مستوى الصناعة يستخدم توقيعات التشفير لضمان أن كل قطعة من البرامج الثابتة التي يتم تحميلها أثناء بدء التشغيل موثوق بها من قبل الشركة المصنعة للكمبيوتر. تم تصميم Secure Boot لإنشاء سلسلة من الثقة تمنع المهاجمين من استبدال برامج التشغيل الثابتة المقصودة ببرامج ضارة. إذا لم يتم التعرف على رابط واحد في سلسلة بدء التشغيل، فإن التمهيد الآمن سيمنع الجهاز من بدء التشغيل.
اكتشاف المزيد من عرب نيوز للتقنية
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.
